Kritische Sicherheitslücke in ArgoCD durch ungeschützten Redis Cache

Table of Contents

Eine schwerwiegende Sicherheitslücke (CVE-2024-31989) wurde in ArgoCD, einem GitOps Continuous Delivery Tool für Kubernetes, entdeckt, die durch unsichere oder fehlende kryptografische Algorithmen im Redis Cache verursacht wird. Diese Schwachstelle ermöglicht es einem Angreifer mit Zugriff auf den Redis-Server, beliebigen Code auszuführen und den Cluster zu übernehmen. Alle Versionen bis einschließlich 2.11.0, 2.10.9, 2.9.14 und 2.8.18 sind betroffen.

Die Redis-Datenbank ist standardmäßig nicht passwortgeschützt. Ein Angreifer mit Zugriff auf den Redis-Server kann daher Lese- und Schreibzugriff auf die Daten erlangen. Besonders kritisch ist die Möglichkeit, den “mfst”-Schlüssel zu modifizieren, was dazu führt, dass ArgoCD beliebige Deployments ausführt. Da die “cacheEntryHash”-Werte nicht durch private Schlüssel signiert sind, kann ein Angreifer diese einfach mit einem Skript neu generieren.

Durch die Manipulation des “app|resources-tree”-Schlüssels kann ein Angreifer zudem bewirken, dass der ArgoCD-Server beliebige Kubernetes-Ressourcen in die Live-Manifest-Sektion der App-Vorschau lädt, was zu Informationslecks führen kann.

Details und Auswirkungen

  • Angriffsvektor: Benachbartes Netzwerk
  • Angriffskomplexität: Niedrig
  • Erforderliche Privilegien: Niedrig
  • Benutzerinteraktion: Keine
  • Auswirkung auf Vertraulichkeit, Integrität und Verfügbarkeit: Hoch

Diese Schwachstelle kann zu einer Privilegieneskalation auf Clusterebene oder zu Informationslecks führen, besonders wenn keine strengen Zugriffskontrollen auf die Redis-Instanz angewendet werden.

ArgoCD-Benutzer sollten dringend auf die gepatchten Versionen aktualisieren (2.11.1, 2.10.10, 2.9.15, 2.8.19). Es wird empfohlen, Redis mit einem starken Passwort zu schützen und sicherzustellen, dass alle Daten in Redis signiert oder verschlüsselt sind.

Related Posts

Sicherheitslücken in Veeam Backup Enterprise Manager entdeckt

In Veeam Backup Enterprise Manager wurden mehrere Sicherheitslücken entdeckt, die in einem kürzlich veröffentlichten Sicherheitshinweis (KB ID: 4581) dokumentiert sind. Dies Schwachstellen betreffen Veeam Backup & Replication Versionen 5.0 bis 12.1 und werden durch folgende CVEs beschrieben:

Read More

Remote Code Execution in Ivanti Endpoint Manager möglich

Ivanti hat eine Sicherheitswarnung für Endpoint Manager (EPM) veröffentlicht, die mehrere kritische Sicherheitslücken betrifft. Diese Schwachstellen betreffen die Version 2022 SU5 und frühere Versionen.

Read More

Void Manticore: Iranische Cyberattacken gegen Israel

Strukturierte Zusammenarbeit zwischen Cyberspionage und Datenzerstörung Sicherheitsforscher von Check Point Research (CPR), der Threat Intelligence-Abteilung von Check Point® Software Technologies Ltd. (NASDAQ: CHKP), einem führenden Anbieter einer KI-gestützten, Cloud-basierten Cyber-Sicherheitsplattform,haben die Aktivitäten von Void Manticore, einem iranischen Bedrohungsakteur, der mit dem Ministerium für Geheimdienste und Sicherheit (MOIS) verbunden ist, aktiv überwacht. Der Bedrohungsakteur ist durch seine Beteiligung an zerstörerischen Löschangriffen (mit Wipern) aufgefallen, die oft mit Beeinflussungsaktionen verbunden sind. Void Manticore hat zur Durchführung seiner Operationen die Form von verschiedenen Online-Identitäten angenommen, wobei die bekanntesten „Homeland Justice“ für Angriffe in Albanien und „Karma“ für Operationen gegen Israel sind.

Read More