Уязвимость декларативного инструмента непрерывной доставки GitOps для Kubernetes Argo CD связана с неконтролируемым расходом ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании, путем отправки специально созданной полезной нагрузки JSON в конечную точку /api/webhook
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- введение ограничения на размер входящих запросов на уровне веб-сервера или прокси-сервера, который обрабатывает запросы для Argo CD;
- установка лимита ресурсов для pod'ов Argo CD в манифестах Kubernetes с целью ограничения влияния атаки на другие компоненты кластера;
- использование средств межсетевого экранирования уровня веб-приложений для фильтрации и контроля запросов;
- ограничение доступа к кластеру из внешних сетей (Интернет);
- использование виртуальных частных сетей для организации удаленного доступа (VPN).
Использование рекомендаций производителя:
https://github.com/argoproj/argo-cd/commit/46c0c0b64deaab1ece70cb701030b76668ad0cdc
https://github.com/argoproj/argo-cd/commit/540e3a57b90eb3655db54793332fac86bcc38b36
https://github.com/argoproj/argo-cd/commit/d881ee78949e23160a0b280bb159e4d3d625a4df
https://github.com/argoproj/argo-cd/security/advisories/GHSA-jmvp-698c-4x3w
| Балл | 7.8 — высокая опасность |