Argo CD’sinde, hassas depo kimlik bilgilerine erişmek için sınırlı izinli API jetonlarına izin veren kritik bir güvenlik açığı keşfedilmiştir.
Proje detayları API uç noktasındaki kusur, kullanıcı adlarını ve şifreleri ortaya çıkarır ve açık izinler olmadan sırlara erişim sağlayarak platformun güvenlik modelini zayıflatır.
Güvenlik açığı, Proje API’sında, özellikle de uygunsuz bir yetkilendirme kontrolünden kaynaklanmaktadır. /api/v1/projects/{project}/detailed uç nokta.
Güvenlik açığı ayrıntılarına göre, uygulamaları yönetmek için olanlar gibi standart proje düzeyinde izinli API jetonları, bu proje ile ilişkili tüm depo kimlik bilgilerini alabilir.
Beklenen davranış, sırlar gibi hassas bilgi talebinin açık, yüksek izinler gerektirmesidir. Bununla birlikte, gerçek davranış, bu verileri almak için temel erişime sahip belirteçlere izin verir.
Sömürme
Bu sorun projeye özgü rollerle sınırlı değildir. Herhangi bir jeton tutma project get Daha geniş küresel izinleri olanlar da dahil olmak üzere izinler savunmasız olarak kabul edilir. p, role/user, projects, get, *, allow. Bu, kusurdan yararlanmak için daha genel amaçlı jetonlar kullanılabilir, çünkü potansiyel saldırı yüzeyini önemli ölçüde genişletir.
Sömürü basittir. Gerekli izinlere sahip geçerli bir API jetonuna sahip bir saldırgan, ayrıntılı Proje API uç noktasına basit bir kimlik doğrulamalı çağrı yapabilir.
Ortaya çıkan JSON yanıtı yanlış bir şekilde bir repositories düz metin içeren nesne username Ve password Projeye bağlı depolar için kimlik bilgileri. Bu, bir saldırganın özel kaynak kodu depolarına erişmek için kullanılabilecek kimlik bilgilerini kolayca toplamasını sağlar.
Bu güvenlik açığının sonuçları şiddetlidir, çünkü maruz kalan kimlik bilgileri kaynak kodu hırsızlığına, CI/CD boru hattına kötü amaçlı kod enjeksiyonuna ve geliştirme altyapısının daha da uzlaşmasına yol açabilir.
Argo CD geliştirme ekibi sorunu ele aldı ve yamalar yayınladı. Yöneticilere, riski azaltmak için örneklerini hemen aşağıdaki güvenli sürümlerden birine yükseltmeleri şiddetle tavsiye edilir:
- v3.1.2
- v3.0.14
- v2.14.16
- v2.13.9
Yamalı bir sürüme yükseltme, API uç noktasının izin kontrollerini düzgün bir şekilde zorlamasını ve depo kimlik bilgilerinin yetkisiz olarak ifşa edilmesini önleyecektir.
Bu hikayeyi ilginç bul! Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin.