Argo CD, een tool voor continuous delivery in Kubernetes-omgevingen, bevat een kritieke kwetsbaarheid die het mogelijk maakt authenticatie-gegevens te stelen. Dit ontdekten security-experts van Apiiro.

Apiiro vond in Argo CD een zero-day kwetsbaarheid, CVE-2022-24348, die het mogelijk maakt gevoelige informatie te stelen. Denk daarbij aan authenticatiegegevens als wachtwoorden, geheimen en API-sleutels. Ontwikkelaars gebruiken het Argo CD-platform voor Kubernetes, voor declaratieve specificaties voor applicaties en geautomatiseerde uitrolactiviteiten op basis van GitHub.

Aanvalspad

De hackers vallen de tool aan door een kwaadaardig Kubernetes Helm Chart YAML-bestand te laden. Een Helm Chart YAML-bestand bevat verschillende ‘velden’, de diverse benodigde bronnen en configuraties die nodig zijn voor het uitrollen van een applicatie in Kubernetes. De hackers kunnen vervolgens van hun eigen kwaadaardige applicatie-ecosysteem overstappen naar applicatiedata die zich buiten het bereik van de eindgebruikers bevinden.

Met de gegevens kunnen hackers ook dieper in systemen doordringen en daar hun kwaadaardige activiteiten uitvoeren.

Het is niet de eerste keer dat belangrijke en veelgebruikte open source-software wordt getroffen. Nog steeds worden er diverse kwetsbaarheden rondom Log4j ontdekt en ook vrijwel alle grote zakelijke Linux-distributies zijn onlangs getroffen door kwetsbaarheden.

Inmiddels heeft de Open Source Security Foundation het Alpha Omega Project aangekondigd voor het verbeteren van de open source software supply chain. Techgiganten Microsoft en Google ondersteunen dit project met een bedrag van ruim 4 miljoen euro (5 miljoen dollar).

Tip: Log4Shell: ongekende impact, harde lessen voor software-ontwikkelaars