Les mainteneurs d’Argo CD, l’outil de livraison continue pour Kubernetes, ont corrigé une vulnérabilité critique qui permettait aux attaquants de forger des jetons Web JSON (JWT) et de devenir administrateurs.

La faille d’élévation des privilèges survient parce que la plate-forme open source GitOps fait confiance à tort aux jetons Web JSON (JWT) non valides si l’accès anonyme est activé.

Heureusement pour les utilisateurs, bien que le bogue ait reçu la cote de gravité la plus élevée possible – un score CVSS de 10 – l’accès anonyme est désactivé par défaut.

Contrôle de grappe

Si des malfaiteurs non authentifiés envoient un JWT spécialement conçu à des installations vulnérables, ils peuvent « obtenir les mêmes privilèges sur le cluster que l’instance Argo CD, qui est l’administrateur du cluster dans une installation par défaut », selon un conseil en sécurité sur GitHub.

« Cela permettra à l’attaquant de créer, manipuler et supprimer n’importe quelle ressource sur le cluster. »

De plus, ils pourraient « exfiltrer des données en déployant des charges de travail malveillantes avec des privilèges élevés, contournant ainsi toute suppression de données sensibles autrement imposée par l’API Argo CD ».

Cela signifie que même si un rôle d’administrateur est désactivé, il s’avère qu’il n’y a pas de barrière pour les attaquants qui passent à l’administrateur.

Mises à jour de logiciel

La faille affecte les versions 1.4.0 jusqu’à 2.1.14, 2.2.8 et 2.3.3 incluses, et a été corrigée dans les versions corrigées 2.3.4, 2.2.9 et 2.1.15.

L’accès anonyme doit être désactivé jusqu’à ce que les utilisateurs puissent appliquer la mise à jour, suggère l’avis.

Néanmoins, les utilisateurs ont été invités à mettre à jour leurs systèmes « dès que possible, que l’accès anonyme soit activé ou non dans votre instance ».

Un utilisateur peut déterminer si l’accès anonyme est activé en interrogeant le argocd-cm ConfigMap dans l’espace de noms d’installation.

La vulnérabilité a été découverte par Mark Pim et Andrzej Hajto de G-Research, une entreprise technologique basée à Londres.

Les mises à jour corrigent également un bogue de gravité modérée (CVSS 4.3) permettant à un utilisateur malveillant disposant d’un accès en écriture au référentiel de fuite de fichiers sensibles du serveur de dépôt d’Argo CD.

La vulnérabilité a apparemment été découverte pour la première fois dans le cadre d’un audit Trail of Bits publié en mars, et redécouverte indépendamment par l’ingénieur logiciel Michael Crenshaw avant l’arrivée d’un correctif.