Argo CD发布零日漏洞补丁（零日漏洞防御）

Argo CD本周发布了一个针对零日漏洞的补丁，使攻击者能够访问密码和API密钥等敏感信息。

该漏洞是由Apiiro的安全研究团队发现的，并在与补丁一起发布的博客文章中进行了解释。

Argo CD是一个流行的开源持续交付平台，该漏洞 （ 标记为 CVE-2022-24348， CVSS 得分为 7.7 ） " 允许恶意行为者将 Kubernetes Helm Chart YAML 文件加载到漏洞，并从其应用程序生态系统'跳'到用户范围之外的其他应用程序数据。

然后，参与者可以读取和泄露驻留在其他应用程序中的数据，根据Apiiro的说法。

在GitHub上，该公司表示，所有版本的Argo CD都容易受到路径遍历错误的影响，并指出"可以制作特殊的Helm图表包，其中包含实际上是符号链接的值文件，指向存储库根目录之外的任意文件。

"如果有权创建或更新应用程序的攻击者知道或可以猜测包含有效YAML的文件的完整路径，他们可以创建一个恶意的Helm图表，将该YAML作为值文件使用，从而获得对他们无法访问的数据的访问权限，"Argo CD解释说。

"在使用包含敏感或机密数据的加密值文件（例如，使用带有git-crypt或SOPS的插件）的环境中，这种影响尤其重要，并且在渲染Helm图表之前将这些机密解密到磁盘。此外，由于来自 helm 模板的任何错误消息都会传递回用户，并且这些错误消息非常详细，因此可以枚举存储库服务器文件系统上的文件。

此问题没有解决方法，Argo CD敦促其用户更新其安装。Argo CD v2.3.0、v2.2.4 和 v2.1.9 的补丁已经发布。

Apiiro解释说，它于1月30日将此问题通知了Argo CD，双方在上周努力解决这个问题。

Vulcan Cyber首席执行官Yaniv Bar-Dayan表示，他们通常会看到更高级的持续性威胁，这些威胁利用了软件供应链软件（如Argo CD）中已知的，未缓解的漏洞。

Bar-Dayan补充说，多年来，已知的，未缓解的漏洞对网络风险上升的贡献超过了任何其他因素。

"但黑客一直在寻找阻力最小的最有效的途径来实现他们的目标。最近一连串的高级持续性威胁利用供应链零日漏洞菊花链，与已知的，未缓解的漏洞捆绑在一起，这表明黑客如何变得越来越复杂和机会主义。显然，SolarWinds黑客攻击是最臭名昭着的APT，它使用软件供应链作为主要攻击媒介，"Bar-Dayan解释说。

"在发生违规行为的情况下，考虑到不良行为者经常使用已知的，未解决的漏洞，将所有责任归咎于软件供应链供应商是不公平的，这些漏洞应该在软件供应链黑客攻击成为现实之前由IT安全团队缓解。

"作为一个行业，我们需要在网络债务下降之前做得更好。Apiiro和Argo已经采取了正确的步骤来帮助Argo客户降低与CVE-2022-24348相关的风险，但现在IT安全团队必须合作并开展工作，以保护其开发环境和软件供应链免受威胁行为者的侵害。