Eine schwerwiegende Sicherheitslücke (CVE-2024-31989) wurde in ArgoCD, einem GitOps Continuous Delivery Tool für Kubernetes, entdeckt, die durch unsichere oder fehlende kryptografische Algorithmen im Redis Cache verursacht wird. Diese Schwachstelle ermöglicht es einem Angreifer mit Zugriff auf den Redis-Server, beliebigen Code auszuführen und den Cluster zu übernehmen. Alle Versionen bis einschließlich 2.11.0, 2.10.9, 2.9.14 und 2.8.18 sind betroffen.
Die Redis-Datenbank ist standardmäßig nicht passwortgeschützt. Ein Angreifer mit Zugriff auf den Redis-Server kann daher Lese- und Schreibzugriff auf die Daten erlangen. Besonders kritisch ist die Möglichkeit, den „mfst“-Schlüssel zu modifizieren, was dazu führt, dass ArgoCD beliebige Deployments ausführt. Da die „cacheEntryHash“-Werte nicht durch private Schlüssel signiert sind, kann ein Angreifer diese einfach mit einem Skript neu generieren.
Durch die Manipulation des „app|resources-tree“-Schlüssels kann ein Angreifer zudem bewirken, dass der ArgoCD-Server beliebige Kubernetes-Ressourcen in die Live-Manifest-Sektion der App-Vorschau lädt, was zu Informationslecks führen kann.
Details und Auswirkungen
- Angriffsvektor: Benachbartes Netzwerk
- Angriffskomplexität: Niedrig
- Erforderliche Privilegien: Niedrig
- Benutzerinteraktion: Keine
- Auswirkung auf Vertraulichkeit, Integrität und Verfügbarkeit: Hoch
Diese Schwachstelle kann zu einer Privilegieneskalation auf Clusterebene oder zu Informationslecks führen, besonders wenn keine strengen Zugriffskontrollen auf die Redis-Instanz angewendet werden.
ArgoCD-Benutzer sollten dringend auf die gepatchten Versionen aktualisieren (2.11.1, 2.10.10, 2.9.15, 2.8.19). Es wird empfohlen, Redis mit einem starken Passwort zu schützen und sicherzustellen, dass alle Daten in Redis signiert oder verschlüsselt sind.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: