Yeni açıklanan bir saldırı tekniği, popüler GITOPS aracı argocd’daki kimlik doğrulamalı kullanıcıların güçlü GIT kimlik bilgilerini yaymasına olanak tanır.
Siber güvenlik araştırma grubu Future Sight tarafından keşfedilen yöntem, Kubernetes’in transitteki kimlik bilgilerini engellemek için iç DNS kararını kullanıyor ve sürekli dağıtım aracına dayanan kuruluşlar için önemli bir risk oluşturmaktadır.
Bulut Native Computing Foundation (CNCF) manzarasında önde gelen bir proje olan Argocd, istenen uygulamaların durumunu korumak için bir git deposundan Kubernetes’i çekerek işlev görüyor. Bunu yapmak için GitHub gibi GIT sunucularına bağlanmak için kimlik bilgilerini saklar.
Bu kimlik bilgileri ARGOCD Güvenlik Arayüzünde gizlenmiş olsa da, bu yeni saldırı bağlantı sürecinde bunları yakalamanın bir yolunu bulur.
Saldırı açıkladı
Tekniğin çekirdeği dahili bir DNS sahte saldırıdır. Belirli bir izin kümesi olan bir Argocd hesabını tehlikeye atan bir saldırgan, aynı Kubernetes kümesinde kötü amaçlı bir hizmet dağıtabilir.
Bu hizmet, meşru bir Git depo alanı ile kasıtlı olarak çatışacak şekilde adlandırılmıştır, örneğin github.com.
Kubernetes’in DNS’yi nasıl ele aldığı için, Argocd’un depo sunucusu da dahil olmak üzere POD’lar ilk olarak etki alanı adlarını dahili küme DNS’ye karşı çözmeye çalışacaktır.
Saldırganın kötü niyetli hizmeti, github.com kendi dahili IP adresine.
Sonuç olarak, Argocd bir depoyu senkronize etmeye çalıştığında, bilmeden bağlantı isteğini gerçek github’a değil, saldırganın vekalet hizmetine gönderir.
Araştırmacıların “Argexfil” adlı bu hizmet, şüpheyi arttırmak için trafiği gerçek GIT sunucusuna iletmeden önce kimlik bilgilerini kaydedebilir.
.webp)
Bu yöntem, depolar güvenli HTTPS bağlantıları kullansa bile etkili olmaya devam etmektedir. Saldırı, saldırganın Argocd’a özel sertifikalar ekleme izinlerine dayanıyor.
Saldırgan, kötü niyetli hizmetleri için kendi kendine imzalı bir sertifika oluşturarak ve Argocd’un güvenilir sertifikalar listesine ekleyerek, ortada bir adam (MITM) saldırısı başarıyla gerçekleştirebilir ve trafiği şifresini çözebilir ve kimlik bilgilerini ortaya çıkarabilir.
Teknik, kullanıcı adı/şifre kombinasyonları, kişisel erişim belirteçleri (PAT’ler) ve GitHub uygulamaları tarafından kullanılan kısa ömürlü JWT’ler ve erişim belirteçleri gibi çeşitli kimlik bilgilerini yakalayabilir.
Defiltrat edildikten sonra, bu kimlik bilgileri bir saldırganın kaynak kodunu okumasına veya değiştirmesine, dağıtım boru hattına kötü niyetli tezahürler enjekte etmesine ve potansiyel olarak diğer sistemlere dönmesine izin verebilir.
Hafifletme
Saldırı, yetkili olmayan kullanıcılar tarafından kullanılabilir sıfır gün güvenlik açığı değildir. Saldırganın, uygulamalar oluşturmak için izinleri içeren kimliği doğrulanmış bir Argocd oturumuna ve HTTPS hedefleri için sertifikalar almasını gerektirir.
Araştırmacılara göre, Argocd ekibi teknikten haberdar edildi.
Yeni yaklaşımı kabul ederken, onu Argocd içinde doğrudan bir güvenlik açığı olarak sınıflandırmadılar, bunun yerine riski Kubernetes’in varsayılan DNS davranışına ve güvensiz kullanıcı izin konfigürasyonlarına bağlarlar.
Bu tekniğe karşı savunmak için kuruluşlara aşağıdakilere tavsiye edilir:
- En az ayrıcalık ilkesini uygulayın, kullanıcı izinlerini gereken çıplak minimumla kısıtlayın.
- Hangi kullanıcıların ARGOCD’de sertifikaları ekleyebileceğini veya değiştirebileceğini kesinlikle sınırlayın.
- Hem Argocd uygulaması hem de dahili Kubernetes ağ trafiğinde sağlam izleme uygulayın.
- Anahtar değişim mekanizması bu kimlik bilgisi hırsızlığı yöntemine karşı savunmasız olmadığından, mümkün olduğunca SSH tabanlı GIT bağlantılarını kullanın.
Bu hikayeyi ilginç bul! Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin.