Argo CD-Schwachstelle ermöglicht Abgriff von Kubernetes-Geheimnissen

Die ServerSideDiff-Schwachstelle der Verwundbarkeit liegt in einem fehlenden Autorisierungs- und Datenmaskierungsdefizit innerhalb des Argo CD ServerSideDiff-Endpunkts. In einer Standardkonfiguration schützt Argo CD sensible Clusterdaten effektiv, indem es die spezifische Maskierungsfunktion hideSecretData in allen Endpunkten aufruft, die Zustände ückgeben.

Diese entscheidende Maskierungsfunktion wurde jedoch im ServerSideDiff-Handler nie implementiert. Folglich konstruieren die verwundbaren REST- und gRPC-Endpunkte ihre Antworten aus rohen, nicht maskierten Ressourcenzuständen. Wenn eine Anwendung mit der Annotation IncludeMutationWebhook=true konfiguriert ist, wird die sekundäre Verteidigungsebene ändig umgangen.

Dies zwingt das System dazu, die Funktion removeWebhookMutation zu überspringen, die normalerweise nicht verwaltete Felder aus der Server-Side Apply-Vorabprüfung entfernt. Die Sicherheitsforscher Alexmt und Hoang-Prod haben das Problem entdeckt und auf GitHub gemeldet, wobei sie warnten, dass Angreifer nur grundlegende schreibgeschützte Zugriffsrechte benötigen, um es auszunutzen.

Infolgedessen wird die rohe Kubernetes-API-Antwort, die

Infolgedessen wird die rohe Kubernetes-API-Antwort, die echte Geheimniswerte enthält, die direkt aus etcd gelesen wurden, an den Benutzer zurückgegeben, ohne dass eine Maskierung angewendet wurde. Die Ausnutzung dieses Mangels ist für einen Angreifer, der bereits ein niedrigstufiges Konto kompromittiert hat, erschreckend einfach. Jeder authentifizierte Argo CD-Benutzer hat Zugriff über die Standard-Regel für alle Anfragen.

Wie, führt der Handler bei Auslösung der ServerSideDiff-Funktion auf einer betroffenen verwalteten Ressource einen serverseitigen „apply"-Dry-Run gegen die Kubernetes-API durch. Damit die Extraktion erfolgreich ist, müssen die Datenfelder des betroffenen Secrets mindestens einem nicht-Argo-CD-Feldmanager gehören, beispielsweise dem kube-controller-manager oder einem externen Secrets-Operator.

Ist diese Bedingung erfüllt, behält der externe Manager die Eigentümerschaft während des Garbage-Collection-Dry-Runs, wodurch die Klartextwerte in der Systemantwort erhalten bleiben. Dies ermöglicht die unbefugte Extraktion hochsensibler Betriebsdaten, darunter Service-Account-Token, Datenbankpasswörter, TLS-Zertifikate und API-Schlüssel spezifisch Argo-CD-Versionen 3.2.0 bis 3.3.8.

Um die Bedrohung durch unbefugte geheime

Um die Bedrohung durch unbefugte geheime Extraktionen zu neutralisieren, werden Systemadministratoren dringend aufgefordert, ihre Bereitstellungen unverzüglich auf die offiziellen gepatchten Versionen 3.3.9 oder 3.2.11 zu aktualisieren.

Diese aktualisierten Versionen implementieren die fehlende Datenmaskierungsfunktion innerhalb des ServerSideDiff-Handlers korrekt und stellen damit die Sicherheit der GitOps-Pipeline wieder her. Für Organisationen, die ihre Systeme nicht sofort patchen können, gehören temporäre Gegenmaßnahmen zum Entfernen der Annotation IncludeMutationWebhook=true aus allen Anwendungen.

Darüber hinaus sollten Sicherheitsteams ihre policies für die rollenbasierte Zugriffskontrolle (RBAC) aktiv verschärfen, um den Lesezugriff auf Anwendungen strikt einzuschränken und die Argo CD API-Logs aktiv auf anomale oder unbefugte ServerSideDiff-Abfragen zu überwachen. Sie uns auf