SK-CERT Bezpečnostné varovanie V20230127-05

Dôležitosť	Kritická
Klasifikácia	Neutajované/TLP WHITE
CVSS Skóre	9.0

Identifikátor

Kubernetes Argo CD – kritická bezpečnostná zraniteľnosť

Popis

Vývojári nástroja Argo CD pre Kubernetes vydali bezpečnostnú aktualizáciu svojho produktu, ktorá opravuje dve bezpečnostné zraniteľnosti, z ktorých jedna je označovaná ako kritická. Najzávažnejšia kritická bezpečnostná zraniteľnosť spočíva v nedostatočnej implementácii bezpečnostných mechanizmov a umožňuje vzdialenému, neautentifikovanému útočníkovi spôsobiť narušenie dôvernosti, integrity a dostupnosti systému.

Dátum prvého zverejnenia varovania

26.01.2023

CVE

CVE-2023-22482, CVE-2023-22736

IOC

–

Zasiahnuté systémy

Argo CD vo verzii staršej ako v2.6.0-rc5 Argo CD vo verzii staršej ako v2.5.8 Argo CD vo verzii staršej ako v2.4.20 Argo CD vo verzii staršej ako v2.3.14

Následky

Úplné narušenie dôvernosti, integrity a dostupnosti systému

Odporúčania

Administrátorom a používateľom odporúčame bezodkladne vykonať aktualizáciu zasiahnutých systémov. Po odstránení zraniteľností, ktoré mohli spôsobiť získanie prístupu k citlivým údajom je dobrou praxou zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč.

Zdroje

https://github.com/argoproj/argo-cd/security/advisories/GHSA-q9hr-j4rf-8fjc https://www.securitynewspaper.com/2023/01/26/2-critical-vulnerabilities-in-argo-cd-allow-complete-take-over-of-your-kubernetes/

« Späť na zoznam