Cacat Server Repo CD Argo yang Belum Ditambal Dapat Memungkinkan Penyerang Mengambil alih Cluster Kubernetes
Argo CD, alat yang banyak digunakan untuk menerapkan perangkat lunak ke Kubernetes, memiliki kelemahan yang belum ditambal pada komponen server repo yang memungkinkan penyerang yang tidak diautentikasi menjalankan kode…
Sumber: thehackernews. com
Perkembangan ini menjadi salah satu sorotan penting dalam perkembangan alat dan strategi keamanan siber. Argo CD, alat yang banyak digunakan untuk menerapkan perangkat lunak ke Kubernetes, memiliki kelemahan yang belum ditambal pada komponen server repo yang memungkinkan penyerang…
Argo CD, alat yang banyak digunakan untuk menerapkan perangkat lunak ke Kubernetes, memiliki kelemahan yang belum ditambal pada komponen server repo yang memungkinkan penyerang yang tidak diautentikasi menjalankan kode, asalkan mereka dapat mencapai port jaringan internal komponen tersebut.
Synacktiv, yang menemukan bug tersebut, mengatakan hal itu dapat menyebabkan pengambilalihan cluster secara penuh. Tidak ada perbaikan dan tidak ada CVE. Perusahaan tersebut mengatakan bahwa mereka melaporkan cacat tersebut kepada pengelola Argo CD pada Januari 2025; kira-kira delapan belas bulan kemudian, ia masih belum ditambal, sehingga ia menerbitkan rinciannya untuk memperingatkan pengguna.
Bug ini berada di server repo, komponen CD Argo yang membaca repositori Git dan membuat manifes Kubernetes, yaitu file yang menentukan apa yang disebarkan oleh cluster.
Synacktiv menemukan bahwa permintaan yang tidak diautentikasi ke layanan GenerateManifest server repo dapat menyetel opsi tersebut ke skrip, yang diambil dari repositori Git yang dikendalikan penyerang. Saat kustomize dijalankan, skrip akan dijalankan, bukan helm.
Tidak ada versi yang ditambal, jadi pertahanannya adalah isolasi jaringan. Aktifkan kebijakan jaringan Kubernetes sehingga hanya komponen Argo CD yang dapat menjangkau server repo dan port Redis. Argo CD menyediakan file kebijakan; Pengguna helm harus mengaktifkannya karena grafik tidak mengaktifkannya.
Pada bulan Mei 2026, bug lain, CVE-2026-42880, memungkinkan pengguna read-only untuk membaca rahasia Kubernetes dalam teks biasa. Polanya sulit untuk dilewatkan: Argo CD memusatkan akses cluster dan rahasia repositori, dan permukaan internalnya terus membagikannya, ke permintaan yang tidak diautentikasi dalam satu bug dan token dengan hak istimewa rendah di bug berikutnya.
Secara keseluruhan, perkembangan ini memberi gambaran tentang arah terbaru di perkembangan alat dan strategi keamanan siber dan alasan mengapa topik ini tetap relevan untuk terus dipantau.