Уязвимость декларативного инструмента непрерывной доставки GitOps для Kubernetes Argo CD связана с недостатками процедуры авторизации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, повысить свои привилегии
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- минимизация пользовательских привилегий;
- изменение конфигурации RBAC для ограничения возможности пользователем обновления любого кластера. Проверить конфигурацию RBAC на наличие таких строк:
p, role:developers, clusters, update, *, allow
p, role:developers, clusters, *, *, allow
p, role:developers, *, update, *, allow
Отозвать clusters, update для любых пользователей, которым этот доступ не нужен;
- ограничение управления ресурсами через AppProjects с использованием полей destinations и clusterResourceWhitelist.
Использование рекомендаций производителя:
Для Argo C:
https://github.com/argoproj/argo-cd/commit/fbb0b99b1ac3361b253052bd30259fa43a520945
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2023-23947
| Балл | 8.3 — критическая опасность |