Kubernetes için popüler açık kaynaklı Gitops aracı olan Argo CD’sinde bir güvenlik kusuru, DevOps ve bulut yerli toplulukları hedef aldı. CVE-2025-55190 olarak izlenen güvenlik açığı, saldırganların bir proje seviyesi API jetonu aracılığıyla kullanıcı adları ve şifreler de dahil olmak üzere hassas depo kimlik bilgilerini almasına izin verdiği için 10 üzerinden 9,8 CVSS puanı ile kritik olarak değerlendirildi.
Kusur, Proje API uç noktasında bulunur (/API/V1/Projeler/{Project}/Ayrıntılı) CD. Resmi Güvenlik Danışmanlığına göre, API jetonları, yalnızca temel proje seviyesi izinleri atandı, açıkça verilmedikçe sınır dışı olması gereken depo kimlik bilgilerine erişebildi.
Daha basit terimlerle, bir jeton sadece uygulama senkronizasyonunu yönetmek veya tetikleme sunumlarını yönetmek için olsa bile, proje ile ilişkili dümen grafik depoları da dahil olmak üzere depolar için kimlik bilgilerini çıkarmak için kullanılabilir. Bu kimlik bilgileri API yanıtlarında ortaya çıktı, bu da onları jeton erişimi olan herkes tarafından görünür hale getirdi.
Diğer katkıda bulunanlarla birlikte açıklamayı koordine eden güvenlik araştırmacısı @Crenshaw-dev, kırılganlığı üç gün önce halka açık hale getirdi. Hata, 2.2.0-rc1’den başlayan ARGO CD sürümlerinde tanımlandı ve yamalı güncellemeler o zamandan beri V3.1.2, v3.0.14, v2.14.16 ve v2.13.9 sürümlerinde piyasaya sürüldü.
Ayrıca, güvenlik açığı @crenshaw-dev tarafından bildirildi ve koordine edildi, @ashishgoyal111, @ntammineni5, @34Fathombelow, @AlexMt ve @Svghadi’ye sorunu tanımlamak ve sorunu çözmeye yardımcı olmak için krediler de verildi.
CVE-2025-55190’a daha yakından bakmak
İlgili faktörlerin kombinasyonu nedeniyle CVE-2025-55190 kusuru şiddetli kabul edilir:
- Saldırı Vektörü: Ağ
- Saldırı Karmaşıklığı: Düşük
- Gereken ayrıcalıklar: düşük
- Kullanıcı etkileşimi: yok
- Kapsam: Değiştirildi
- Gizlilik/Dürüstlük/Kullanılabilirlik Etkisi: Yüksek
Bu aslında sadece küçük erişime sahip bir saldırgan anlamına gelir (örneğin, bir otomasyon rolü jetonu) ve hiçbir kullanıcı etkileşimi, kimlik bilgileri elde etmek ve bir Kubernetes ortamını daha da tehlikeye atmak için bunu kullanamaz.
Güvenlik açığı projeye özgü rollerle sınırlı değildir. Daha geniş izinleri olan jetonlar projeler. elde etmek sistemin karşısında da etkilenir. Bu, potansiyel saldırı yüzeyini, özellikle sürekli dağıtım için ARGO CD kullanan büyük kurumsal Kubernetes ortamlarında büyük ölçüde genişletir.
Gerçek Dünya Etkisi
Güvenlik danışmanında paylaşılan bir kavram kanıtı, bir saldırganın kusurdan nasıl yararlanabileceğini gösterdi. Sınırlı izinleri olan bir API jetonu oluşturarak ve /Projeler/{Project}/Ayrıntılı Son nokta, saldırgan depolar için açık metin kullanıcı adları ve şifreler içeren bir JSON yanıtı alır:
“Depolar”: [
{
“username”: “admin”,
“password”: “secret123”,
“type”: “helm”,
“name”: “test-helm-repo”,
“project”: “myProject”
}
]
Bu kimlik bilgilerinin kötüye kullanılması, saldırganların uygulama dağıtımlarını değiştirmesini, kötü niyetli konteyner görüntülerini eklemesini veya tüm yazılım tedarik zincirine müdahale etmesini sağlayabilir. Kubernetes kümelerinde Argo CD’sinin yaygın kullanımı göz önüne alındığında.
Azaltma ve yama
Argo CD ekibi, birden fazla şubede anında yamalar yayınladı:
- v3.1.2
- v3.0.14
- v2.14.16
- v2.13.9
Etkilenen sürümleri çalıştıran kullanıcılar derhal yükseltmelidir. Güncellemeleri hemen uygulayamayan kuruluşlar için, tüm depo kimlik bilgilerini döndürmeniz, API jeton izinlerini denetlemeniz ve API erişimini yamalar uygulanana kadar sınırlandırmanız önerilir.