K8s持续部署工具 Argo 曝零日漏洞，可窃取密钥等敏感信息

最近的网络安全研究发现，Kubernetes 的持续部署 (CD) 工具 Argo 存在提取密码和API密钥等敏感信息的零日漏洞。该漏洞号为 CVE-2022-24348（CVSS 评分：7.7），所有版本均受影响，目前在版本 2.3.0、2.2.4 和 2.1.9 中已经得到了修复。

根据网络安全行业门户「极牛网」GEEKNB.COM的梳理，持续部署也称为持续交付，是指在测试和生产环境中自动将所有代码更改部署到测试或生产环境并合并到共享存储库的过程。

Argo CD 在全球广泛使用，包括阿里巴巴、宝马、IBM等191个企业。Argo路径遍历漏洞允许黑客将 Kubernetes Helm Chart YAML 文件加载到漏洞中，并从他们的应用程序换成切换到用户权限之外的其他应用的数据。

黑客可以通过将恶意 Kubernetes Helm Chart YAML 文件加载到目标系统上来利用该漏洞，该YAML文件是一个包管理器，用于指定部署应用程序所需的 Kubernetes 资源集合，从而允许从其他应用程序检索敏感信息。

根据网络安全行业门户「极牛网」GEEKNB.COM的梳理，成功利用该漏洞可能会产生严重后果，从特权升级和敏感信息泄露，到横向移动攻击和从其他应用程序中窃取令牌。

近年来，随着利用SolarWinds、Kaseya和Log4j的攻击，软件供应链已成为主要的安全威胁，企业在软件开发中应该充分关注来自开源生态的软件供应链安全风险。