Argocd ve kırmızı takımcılara taze cephane ve mavi takımcılara taze baş ağrıları verebilecek yeni keşfedilen bir saldırı yöntemi.
Bu teknik, bir saldırganın Kubernetes’i DNS’yi Argocd’dan güçlü GIT kimlik bilgilerini çalmasını ve potansiyel olarak tüm GIT hesaplarını devralmasına izin verir.
Neden Argocd ve Kubernetes’i hedef?
2025 yılında, veri açığa vurma saldırıları, özellikle saldırganlar otomasyon araçlarında ve sürekli dağıtım boru hatlarında saklanan sırlar için avlandıkça siber güvenlik konusunda büyük bir tehdittir.
Argocd, Gitops ve Kubernetes CI/CD için altın standart olarak kabul edilir ve bu da onu popüler bir hedef haline getirir.
Yeni bir pesfiltrasyon yöntemi hakkında farkındalığı artırın ve saldırganların Argocd’da depolanan GIT kimlik bilgilerini, özellikle de özel kaynak kodlarına ve sırlara erişim sağlayan GIT kimlik bilgilerini tehlikeye atmak için Kubernetes’in dahili DN’lerini nasıl kullanabileceğini gösterin.
Argocd en ünlü GITOPS aracı olsa da, benzer entegrasyon sunan diğerleri, güvenlik araştırmacısı tarafından yapılan bir rapora göre, bu saldırının varyasyonlarına karşı da savunmasız olabilir.
Kubernetes kapları düzenler ve ölçeklendirme, yük devretme ve kaynak yönetimini otomatikleştirir. Kontrol düzlemi küme durumlarını yönetirken, işçi düğümleri kapsüllerde kapsayıcı uygulamalar çalıştırır.
Kubernetes, kümelerdeki hizmet keşfi için Coredns kullanır ve her bölme ve hizmet için DNS kayıtları oluşturur.
Bir bölme harici bir etki alanına (github.com gibi) bağlanmak istediğinde, isteği iletmeden önce DNS adını dahili olarak çözer. Bir saldırgan bu DNS kayıtlarını manipüle edebilirse, GIT sunucuları için trafiği kaçırabilirler.
Kube-sistem ad alanında çalışan Coredns, bu işlemler için kritik öneme sahiptir. Saldırganlar kötü amaçlı DNS kayıtları oluşturabilirse ya coredns’i kontrol ederek veya harici alanlarla eşleşen adlarla bir hizmeti taklit ederse, başlangıçta harici sunucular (örn. GitHub) için amaçlı bağlantıları kendi hizmetlerine yönlendirebilirler.
Argocd, Kubernetes’in dağıtım için tezahür etmesi için GIT kimlik bilgilerini (şifreler, erişim belirteçleri veya github uygulama entegrasyonları gibi) kullanır.
Bir depo bağlandıktan sonra, kimlik bilgileri güvenlik nedeniyle saklanır ve gizlenir.
Ancak Argocd, bazı yaratıcı yaramazlıklar için kapıyı açan özel SSL/TLS sertifikalarına ve dahili bağlantılara izin verir.
İşte saldırının bir taslağı:
- Saldırgan Erişim Kazanır: Saldırgan, sertifika ve uygulamalar oluşturmak için ayrıcalıklarla bir Argocd kullanıcı hesabını tehlikeye atar.
- DNS Kayıt Hilesi: Aynı ad ve ad alanına sahip bir Kubernetes hizmeti kurarlar (Namespace Com’da GitHub). Bu hizmet, Github.com için isteklerle eşleşen bir DNS kaydı alır.
- Sertifika Kurulumu: Saldırgan Github.com için Argocd’a bir sertifika ekleyerek HTTPS üzerinden sahte hizmete güveniyor.
- Repo Sunucusu Bağlantısı: Argocd Repo Server uygulamaları güncellemeye veya senkronize etmeye çalıştığında, Github.com’u dahili saldırganın hizmetine, gizli kimlik bilgilerini geçerek çözer.
- Exfiltration: Saldırganın hizmeti isteği ele geçirir, kimlik bilgilerini alır ve şüphe önlemek için gerçek Github’a vekiller. Kimlik bilgileri (kullanıcı adları, şifreler veya gitithub jetonları gibi) genellikle başlıklara gönderilir ve kolayca çıkarılabilir ve günlüğe kaydedilebilir.
GitHub uygulama entegrasyonları için saldırganlar, özel depolara saatlerce erişmek veya değiştirmek için kullanılabilen JWT jetonlarını ve erişim belirteçlerini çalabilir.
Saldırı gereksinimleri ve etki
Bunu çıkarmak için saldırganların bu Argocd politikalarıyla bir hesaptan ödün vermeleri gerekiyor:
- Sertifika ve uygulamalar oluşturabilme
- Kümeler, depolar ve projeler alma yeteneği
- Sertifika oluşturma, HTTPS trafiğini engellemek için kritik öneme sahiptir
Bu izinler varsa, saldırganlar bir haydut hizmet kurabilir, git trafiğini kesebilir ve kimlik bilgilerini, bazen Argocd’da hemen iz bırakmadan, özellikle kötü amaçlı uygulamalar silinirse, ancak temel hizmet Kubernetes’te aktif kalır.
Bu saldırı, Argocd ve Kubernetes içindeki güvensiz DNS yapılandırmaları ve aşırı kullanıcı izinleri tehlikesini göstermektedir.
Savunucular RBAC kontrollerini sıkılaştırmalı, sertifika oluşturmayı kısıtlamalı, beklenmedik hizmet adlarını izlemeli ve şüpheli yeniden yönlendirmeler için DNS kayıtlarını ve ağ trafiğini düzenli olarak denetlemelidir.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.