SK-CERT Bezpečnostné varovanie V20240328-06

Dôležitosť	Kritická
Klasifikácia	Neutajované/TLP:CLEAR
CVSS Skóre	9.8

Identifikátor

Argo CD – kritická bezpečnostná zraniteľnosť

Popis

Vývojári nástroja Argo CD vydali bezpečnostnú aktualizáciu svojho produktu, ktorá opravuje tri bezpečnostné zraniteľnosti z ktorých jedna je označená ako kritická. Kritická bezpečnostná zraniteľnosť s identifikátorom CVE-2024-21652 spočíva v nedostatočnom overovaní používateľských vstupov a umožňuje vzdialenému, neautentifikovanému útočníkovi prostredníctvom útoku hrubou silou získať úplnú kontrolu nad systémom. Zneužitím ostatných bezpečnostných zraniteľností možno vykonať neoprávnené zmeny v systéme a zneprístupnenie služby.

Dátum prvého zverejnenia varovania

18.3.2024

CVE

CVE-2024-21662, CVE-2024-21652, CVE-2024-21661

IOC

–

Zasiahnuté systémy

Argo CD vo verzii staršej ako 2.8.13, 2.9.9 a 2.10.4

Následky

Neoprávnený prístup do systému Neoprávnený prístup k citlivým údajom Neoprávnená zmena v systéme Zneprístupnenie služby

Odporúčania

Administrátorom a používateľom odporúčame bezodkladne vykonať aktualizáciu zasiahnutých systémov. Po odstránení zraniteľností, ktoré mohli spôsobiť získanie prístupu k citlivým údajom, je dobrou praxou zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč.

Zdroje

https://www.ktrust.io/post/unveiling-new-vulnerabilities-in-argocd-a-ktrust-research-insight https://github.com/argoproj/argo-cd/security/advisories/GHSA-x32m-mvfj-52xv https://nvd.nist.gov/vuln/detail/CVE-2024-21652 https://nvd.nist.gov/vuln/detail/CVE-2024-21662 https://nvd.nist.gov/vuln/detail/CVE-2024-21661 https://github.com/argoproj/argo-cd/releases https://www.infosecurity-magazine.com/news/three-vulnerabilities-uncovered/

« Späť na zoznam