Argo CD est une plate-forme open source de livraison continue (CD) populaire pour Kubernetes, utilisée par des centaines d’organisations dans le monde. Récemment, un une grave vulnérabilité dans Argo CD a été découverte par Apiiro, qui permet aux attaquants d’accéder à des informations sensibles telles que des secrets, des mots de passe et des clés API. La vulnérabilité a été étiquetée comme CVE -2022-24348.
La vulnérabilité pourrait permettre à des acteurs malveillants de charger des graphiques Kubernetes Helm spécifiquement configurés qui leur donneraient accès à des informations sensibles via Argo CD.
Qu’est-ce qui est à risque ?
En termes d’impact de cette vulnérabilité, Apiiro a déterminé ce qui suit (jusqu’à présent). Notez que les informations suivantes provenaient du site Web d’Apiiro au moment de l’annonce et peuvent être sujettes à modification. Veuillez consulter le site Web d’Apiiro pour obtenir les dernières informations.
Voici ce que nous savons de la vulnérabilité et ce qu’elle pourrait permettre à un attaquant :
- L’attaquant peut lire et exfiltrer des secrets, des jetons et d’autres informations sensibles résidant sur d’autres applications.
- L’attaquant peut « se déplacer latéralement » de son application vers les données d’une autre application.
Le risque a reçu une cote de gravité élevée étant donné que le graphique Helm malveillant pourrait potentiellement exposer des informations sensibles stockées sur un référentiel Git et également « errer » à travers des applications permettant aux attaquants de lire des secrets, des jetons et des données sensibles qui résident dans le candidatures.
Conseils pour rester protégé
L’équipe derrière Argo CD a rapidement fourni un correctif que les organisations concernées doivent appliquer dès que possible car la vulnérabilité affecte toutes les versions de l’outil. Le correctif est disponible via CD Argo Dépôt GitHub.
Bien qu’il soit possible de prendre des mesures immédiates pour protéger votre organisation contre la vulnérabilité Argo CD dès aujourd’hui, il est important de réfléchir aux moyens de rester protégé contre les futures vulnérabilités Kubernetes.
Voici quelques tactiques et mesures clés que vous pouvez mettre en œuvre pour vous assurer que votre organisation maintient une posture de sécurité élevée :
- Gouvernance de la chaîne d’approvisionnement logicielle : garantit que seuls les composants logiciels examinés et approuvés sont autorisés à fonctionner sur les clusters Kubernetes.
- Accès zéro confiance : permet aux organisations de mettre en œuvre un modèle de fourniture d’informations d’identification juste-à-temps (JIT) pour l’accès utilisateur et système aux clusters afin de s’assurer qu’il n’y a -synchroniser les identifiants. Cela évite les portes dérobées potentielles et réduit considérablement la surface d’attaque.
- Contrôle d’accès basé sur les rôles (RBAC) : mettez en œuvre la séparation des tâches afin qu’aucun utilisateur ou système ne fonctionne en « mode Dieu ». Assurez-vous que les utilisateurs et les systèmes externes ne disposent que du niveau d’accès minimal dont ils ont besoin sur les clusters.
- Gestion des secrets : garantit que les secrets sont récupérés de manière dynamique à partir d’une source centrale de vérité qui permet une rotation à volonté des secrets si nécessaire.
- SaaS : faites appel à un fournisseur SaaS pour les services lorsque cela est possible, car il peut corriger très rapidement les vulnérabilités pour tous les clients et contribuer à réduire considérablement la fenêtre d’attaque.
La réalité est que des failles de sécurité se produisent et continueront de se produire, en particulier dans le monde open source de Kubernetes. Heureusement, Argo CD a pu appliquer un correctif immédiatement lorsque leur vulnérabilité a été révélée.
Cependant, sachant que la sécurité continuera probablement d’être une préoccupation, il est préférable de se préparer autant que possible dès aujourd’hui aux incidents à venir. Il est difficile de savoir exactement ce qui peut arriver d’autre, mais suivre les cinq meilleures pratiques mentionnées ci-dessus renforcera votre protection.
Mohan Atreya est SVP des produits et solutions chez Rafay Systems, fournisseur de la plate-forme d’opérations Kubernetes.
—
New Tech Forum offre un lieu d’exploration et de discussion des technologies d’entreprise émergentes avec une profondeur et une ampleur sans précédent. La sélection est subjective, basée sur notre sélection des technologies que nous pensons importantes et les plus intéressantes pour les lecteurs d’InfoWorld. InfoWorld n’accepte pas les supports marketing pour publication et se réserve le droit de modifier tout le contenu contribué. Envoyez toutes les demandes à newtechforum@infoworld.com.
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
