Lỗ hổng nghiêm trọng trong Argo CD Repo-Server: Nguy cơ chiếm quyền kiểm soát toàn bộ Kubernetes Cluster
Một lỗ hổng chưa được vá trong thành phần repo-server của Argo CD đang đặt hàng loạt Kubernetes cluster vào tình trạng nguy hiểm, cho phép kẻ tấn công thực thi mã từ...
Một lỗ hổng bảo mật nghiêm trọng vừa được phát hiện trong Argo CD, công cụ phổ biến dùng để triển khai phần mềm trên Kubernetes. Lỗ hổng này nằm ở thành phần repo-server, cho phép kẻ tấn công không cần xác thực có thể thực thi mã tùy ý nếu truy cập được vào cổng mạng nội bộ của thành phần này.
Theo đơn vị nghiên cứu bảo mật Synacktiv, lỗ hổng này có khả năng dẫn đến việc chiếm quyền kiểm soát toàn bộ cluster. Đáng chú ý, vấn đề này đã được báo cáo cho đội ngũ phát triển Argo CD từ tháng 1 năm 2025 nhưng đến nay vẫn chưa có bản vá chính thức (patch). Do thời gian chờ đợi đã kéo dài hơn 18 tháng, các chuyên gia quyết định công khai chi tiết kỹ thuật để người dùng chủ động phòng vệ.
Cơ chế tấn công
Lỗ hổng nằm trong dịch vụ gRPC nội bộ của repo-server – thành phần chịu trách nhiệm đọc các kho lưu trữ Git và xây dựng các tệp manifest cho Kubernetes. Dịch vụ này hiện thiếu cơ chế xác thực, cho phép bất kỳ ai kết nối được tới nó đều có thể gửi các yêu cầu độc hại.
Kẻ tấn công có thể lợi dụng công cụ kustomize (thường được Argo CD sử dụng để tạo manifest) bằng cách thao túng tùy chọn --helm-command. Thay vì gọi tệp nhị phân helm hợp lệ, kẻ tấn công có thể ép hệ thống thực thi một tập lệnh (script) độc hại được lấy từ kho lưu trữ Git do chúng kiểm soát.
Mặc dù đây là dịch vụ nội bộ, nhưng nếu người dùng cài đặt Argo CD qua Helm chart mặc định (với thiết lập networkPolicy.create là false), các chính sách mạng sẽ không được kích hoạt. Khi đó, bất kỳ pod nào bị chiếm quyền trong cluster đều có thể tiếp cận repo-server và khai thác lỗ hổng này.
Hệ lụy và cách phòng vệ
Sau khi thực thi mã trên repo-server, kẻ tấn công có thể đánh cắp thông tin nhạy cảm như mật khẩu Redis từ biến môi trường, từ đó chiếm quyền điều khiển cache của Argo CD để tiêm dữ liệu triển khai độc hại. Điều này mở ra kịch bản tấn công tương tự như lỗ hổng CVE-2024-31989 trước đây.
Khuyến nghị cho quản trị viên:
- Thiết lập Network Policy: Vì chưa có bản vá, cách phòng vệ duy nhất hiện tại là cô lập mạng. Hãy kích hoạt các chính sách mạng (Network Policies) để giới hạn quyền truy cập vào các cổng của repo-server và Redis, chỉ cho phép các thành phần nội bộ của Argo CD kết nối.
- Kiểm tra cấu hình: Sử dụng lệnh
kubectl get networkpolicy -Ađể rà soát. Một hệ thống an toàn phải có chính sách mạng riêng biệt cho từng thành phần. - Giám sát: Theo dõi chặt chẽ các truy cập bất thường vào các cổng nội bộ của Argo CD trong cluster.
Synacktiv cho biết họ đã xây dựng một công cụ tự động hóa quá trình tấn công này nhưng tạm thời chưa công bố rộng rãi để dành thời gian cho các quản trị viên củng cố hệ thống.
Nguồn tham khảo: The Hacker News



No Comment! Be the first one.