Argo CD의 새로운 버그, 해커가 Kubernetes 앱에서 기밀 훔치도록 허용해

New Argo CD Bug Could Let Hackers Steal Secret Info from Kubernetes Apps

 

Kubernetes용 Argo CD(Continuous Deployment) 툴에서 공격자가 패스워드, API 키 등 민감 정보를 추출하는데 악용 가능한 제로데이 취약점이 발견되어 패치된 것으로 나타났습니다. 따라서 사용자들은 해당 업데이트를 가능한 빨리 설치할 것을 권장합니다.

 

CVE-2022-24348(CVSS 점수: 7.7)로 등록된 이 취약점은 모든 버전에 영향을 미치며 버전 2.3.0, 2.2.4, 2.1.9에서 수정되었습니다. 해당 버그는 클라우드 보안 회사인 Apiiro에서 2022년 1월 30일 발견 및 제보한 것으로 나타났습니다.

 

지속적인 배포라고도 하는 지속적인 배포는 테스트 및 공유 저장소에 병합된 후 테스트 및/또는 프로덕션 환경에 모든 코드 변경 사항을 자동으로 배포하는 프로세스를 나타냅니다.

 

Argo CD는 Alibaba Group, BMW Group, Deloitte, Gojek, IBM, Intuit, LexisNexis, Red Hat, Skyscanner, Swisscom, Ticketmaster를 포함한 조직 191곳에서 공식적으로 사용하고 있습니다.

 

Apiiro의 보안 연구 부사장인 Moshe Zioni는 "이 경로 탐색 취약점은 공격자가 Kubernetes Helm Chart YAML 파일을 취약점에 로드하고 애플리케이션 생태계에서 사용자의 범위를 벗어난 다른 애플리케이션 데이터로 '뛰어넘도록' 허용한다"고 밝혔습니다.

 

 

<이미지 출처 : https://apiiro.com/blog/malicious-kubernetes-helm-charts-can-be-used-to-steal-sensitive-information-from-argo-cd-deployments/>

 

 

공격자는 해당 애플리케이션을 배포하는 데 필요한 Kubernetes 리소스 모음을 지정하는 패키지 관리자인 악성 Kubernetes Helm Chart YAML 파일을 타깃 시스템에 로드하는 방법으로 해당 취약점을 악용하여 다른 앱에서 기밀 정보를 탐색할 수 있도록 할 수 있습니다.

 

이 취약점을 성공적으로 악용할 경우 권한 상승, 민감 정보 공개, 측면 이동 공격 등 심각한 결과를 초래할 수 있으며 다른 애플리케이션에서 토큰을 빼내는 것도 가능합니다.

 

최근 몇 년 동안 소프트웨어 공급망은 SolarWinds, Kaseya, Log4j를 악용한 공격에서 주요한 보안 위협으로 떠올랐습니다. 2021년 7월, Intezer는 공격자가 Kubernetes(K8s) 클러스터에서 크립토마이너를 드롭하기 위해 잘못 구성된 Argo Workflows 인스턴스를 악용하고 있다고 밝혔습니다.

 

 

 

 

출처:

https://thehackernews.com/2022/02/new-argo-cd-bug-could-let-hackers-steal.html

https://apiiro.com/blog/malicious-kubernetes-helm-charts-can-be-used-to-steal-sensitive-information-from-argo-cd-deployments/