SK-CERT Bezpečnostné varovanie V20230127-05

27. januára 2023

Dôležitosť	Kritická
Klasifikácia	Neutajované/TLP WHITE
CVSS Skóre	9.0

Identifikátor

Kubernetes Argo CD – kritická bezpečnostná zraniteľnosť

Popis

Vývojári nástroja Argo CD pre Kubernetes vydali bezpečnostnú aktualizáciu svojho produktu, ktorá opravuje dve bezpečnostné zraniteľnosti, z ktorých jedna je označovaná ako kritická.
Najzávažnejšia kritická bezpečnostná zraniteľnosť spočíva v nedostatočnej implementácii bezpečnostných mechanizmov a umožňuje vzdialenému, neautentifikovanému útočníkovi spôsobiť narušenie dôvernosti, integrity a dostupnosti systému.

Dátum prvého zverejnenia varovania

26.01.2023

CVE

CVE-2023-22482, CVE-2023-22736

IOC

–

Zasiahnuté systémy

Argo CD vo verzii staršej ako v2.6.0-rc5
Argo CD vo verzii staršej ako v2.5.8
Argo CD vo verzii staršej ako v2.4.20
Argo CD vo verzii staršej ako v2.3.14

Následky

Úplné narušenie dôvernosti, integrity a dostupnosti systému

Odporúčania

Administrátorom a používateľom odporúčame bezodkladne vykonať aktualizáciu zasiahnutých systémov.
Po odstránení zraniteľností, ktoré mohli spôsobiť získanie prístupu k citlivým údajom je dobrou praxou zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč.

Zdroje

https://github.com/argoproj/argo-cd/security/advisories/GHSA-q9hr-j4rf-8fjc
https://www.securitynewspaper.com/2023/01/26/2-critical-vulnerabilities-in-argo-cd-allow-complete-take-over-of-your-kubernetes/

« Späť na zoznam

SK-CERT Bezpečnostné varovanie V20230127-05

SK-CERT Bezpečnostné varovanie V20240419-04

SK-CERT Bezpečnostné varovanie V20240419-03

SK-CERT Bezpečnostné varovanie V20240419-02