Un énorme bogue détecté sur l’outil de déploiement continu Argo

À l’ère actuelle, de nombreux logiciels et applications sont créés pour répondre à des besoins bien ciblés. Cependant, certaines failles peuvent se glisser dans ces programmes, offrant ainsi un champ d’accès libre aux pirates. Récemment, une société de sécurité a dévoilé l’existence d’un bogue dans un outil utilisé par de très grosses entreprises. Malheureusement, cette erreur pourrait avoir des conséquences fâcheuses.

En réalité, la faille du nom de CVE-2022-24348 (score CVSS : 7,7) aurait la capacité d’escalader des privilèges et de divulguer des informations sensibles. En outre, ce défaut permettrait aussi le chargement de fichiers malveillants. Heureusement, des versions corrigeant le bogue de l’outil ont été créées.

Le mérite de la découverte de cet énorme défaut de conception est attribué à la société de sécurité cloud Apiiro qui a été créditée d’avoir identifié le bogue le 30 janvier 2022. Moshe Zioni en est le vice-président.

L’extrême dangerosité du CVE-2022-24348 (score CVSS : 7,7)

En effet, la faille détectée affecte toutes les versions dudit outil et a été corrigée dans les versions 2.3.0, 2.2.4 et 2.1.9. Par ailleurs, l’exploitation réussie du défaut pourrait avoir de graves répercussions, allant de l’escalade des privilèges à la divulgation d’informations sensibles.

illustration bogue

De plus, les acteurs malveillants peuvent exploiter la vulnérabilité en chargeant un fichier Kubernetes Helm Chart YAML malveillant. Ce gestionnaire de packages serait nécessaire pour déployer une application sur le système cible, permettant la récupération d’informations confidentielles.

« La vulnérabilité de traversée de chemin permet aux acteurs malveillants de charger un fichier YAML Kubernetes Helm Chart vers la vulnérabilité et de sauter de leur écosystème d’applications vers les données d’autres applications en dehors de la portée de l’utilisateur. »

Moshe Zioni, le vice-président de cloud Apiiro

D’énormes problèmes en perspective

Malheureusement, Argo CD est utilisé par 191 sociétés, dont Alibaba Group, BMW Group, Deloitte, Gojek, IBM, Intuit, LexisNexis, Red Hat, Skyscanner, Swisscom et Ticketmaster.

Dans ces conditions, une brèche de sécurité pourrait avoir des conséquences aux proportions démesurées. Cependant, le déploiement continu fait référence à un processus qui déploie automatiquement toutes les modifications de code après qu’elles ont été testées. Ainsi, tous les bogues peuvent être maîtrisés de façon efficace et efficiente.

Il faut noter que la chaîne d’approvisionnement des logiciels est devenue une menace majeure pour la sécurité à la suite des attaques récentes exploitant SolarWindsKaseya et Log4j.

Enfin, en juillet 2021, Intezer a révélé que les attaquants utilisent des instances Argo Workflows mal conçues pour déposer des cryptomineurs sur des clusters Kubernetes (K8s).

SOURCE : THEHACKERNEWS

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.