🌟 Atualização imperdível para quem gosta de estar bem informado!

Confira agora e compartilhe com seus amigos!

Apoie esse projeto de divulgacao de noticias! Clique aqui
Argo CD, uma ferramenta amplamente usada para implantação de software no Kubernetes, tem uma falha não corrigida em seu componente repo-server que permite que um invasor não autenticado execute código, desde que consiga acessar a porta de rede interna do componente.

Synacktiv, que encontrou o bug, diz que ele pode levar ao controle total do cluster. Não há correção nem CVE. A empresa afirma ter relatado a falha aos mantenedores do Argo CD em janeiro de 2025; cerca de dezoito meses depois, ele permanece sem correção, por isso publicou os detalhes para alertar os usuários.

O bug está no repo-server, o componente Argo CD que lê repositórios Git e cria manifestos do Kubernetes, os arquivos que definem o que o cluster implanta.

Seu serviço gRPC interno não possui autenticação; qualquer pessoa que puder alcançá-lo pode enviar uma solicitação elaborada para executar um comando. Synacktiv demonstrou o ataque contra o Argo CD v2.13.3 e não relata nenhuma versão corrigida; não publicou uma lista completa das versões afetadas.

A técnica abusa do kustomize, uma ferramenta padrão que o Argo CD executa para transformar arquivos de repositório em manifestos. Kustomize tem uma opção --helm-command que aponta para o binário do helm que ele deve chamar.

Synacktiv descobriu que uma solicitação não autenticada ao serviço GenerateManifest do servidor de repositório pode definir essa opção como um script, extraído de um repositório Git controlado pelo invasor. Quando o kustomize é executado, ele executa o script em vez do helm.

Mas “interno” não significa isolado por padrão. O Argo CD fornece políticas de rede Kubernetes que isolam o repo-server de tudo, exceto de seus próprios componentes.

Synacktiv descobriu que o gráfico do Helm, uma maneira comum de instalar o Argo CD, deixa essas políticas desativadas por padrão, com networkPolicy.create definido como falso. Nessa configuração, um invasor que comprometa um único pod no cluster pode acessar o repo-server e acionar o bug.

Executar código no repo-server não é o fim de tudo. Synacktiv usou esse acesso para ler a senha Redis do cluster a partir de uma variável de ambiente, conectar-se ao cache Redis do Argo CD e envenenar os dados de implantação armazenados. Na próxima sincronização automática, o Argo CD implantou uma carga de trabalho fornecida pelo invasor.

Essa etapa revive CVE-2024-31989, uma falha de 2024 que o Cycode encontrou onde o Redis do Argo CD não tinha senha, permitindo que qualquer pod no cluster envenenasse o cache de implantação. O Argo CD corrigiu isso adicionando uma senha do Redis, mas o cache em si ainda não está assinado, então roubar a senha reabre o mesmo ataque.

O que fazer

Não existe uma versão corrigida, então a defesa é o isolamento da rede. Ative as políticas de rede Kubernetes para que apenas os próprios componentes do Argo CD possam alcançar o repo-server e as portas Redis. Argo CD fornece os arquivos de políticas; Os usuários do Helm precisam ativá-los porque o gráfico os deixa desativados. Verifique o que está ativo com: kubectl get networkpolicy -A. Uma instalação íntegra mostra uma política de rede por componente, incluindo o repo-server e o Redis. Se essas políticas estiverem faltando, as portas repo-server e Redis poderão ser acessadas pelo restante do cluster.

A Synacktiv criou uma ferramenta, argo-cdown, que automatiza o ataque completo. A empresa está atrasando a ferramenta por enquanto para dar aos defensores tempo para bloquear suas políticas de rede e diz que a publicará no GitHub mais tarde para que os administradores possam testar suas próprias implantações.

Esta não é a primeira exposição do Argo CD sobre seus próprios componentes internos. Em setembro de 2025, ele corrigiu o CVE-2025-55190, em que um token de API com apenas acesso básico de leitura poderia recuperar as credenciais do repositório Git de um projeto, uma falha que o The Hacker News sinalizou na época.

Em maio de 2026, outro bug, CVE-2026-42880, permitia que usuários somente leitura lessem segredos do Kubernetes em texto simples. O padrão é difícil de ignorar: o Argo CD concentra o acesso ao cluster e os segredos do repositório, e suas superfícies internas continuam distribuindo-os para uma solicitação não autenticada em um bug e um token de baixo privilégio no próximo.

Até que um patch seja lançado, tratar a rede do cluster como hostil é a única defesa real.

Siga Canal Fsociety para mais novidades:
Instagram | Facebook | Telegram | Twitter
#samirnews #samir #news #boletimtec #falha #não #corrigida #do #argo #cd #reposerver #pode #permitir #que #invasores #assumam #clusters #kubernetes
🚀 Mais conteúdos incríveis estão por vir, fique atento!

Post a Comment