CVE-2022-24348のある継続的デプロイツール

ほぼこもセキュリティニュース By Terilogy Worx

継続的デプロイツールとしていくつものツールがリリースされています。
多くの開発の現場でこういったものが活用されています。
そういったツールの一つに、Argo CDがあります。
Argo CDは、Kubernetesコントローラとして実装されていてGitOpsに則った継続的デプロイができるツールです。
継続的インテグレーションの機能は実装されていませんが、それは他のツールと連携して使用することで実現します。

このArgo CDで脆弱性が確認され、更新が提供されています。
この問題は従来のすべてのバージョンに影響するものですので、利用されている環境では更新が必要です。
といっても、更新が提供されたのは2022年1月30日ですので、きっと賢明な運用がなされている環境ではすでに更新済みのことと思います。

この脆弱性は、悪意を持って作成されたYAMLファイルを脆弱性を持った環境に読み込ませることで、最終的にデータを攻撃者のもとに取り出すことができるようになるものです。
このため、特権の昇格や機密データの開示ができてしまいますし、横方向の移動攻撃や他のアプリケーションからのトークンの流出ができてしまうなど、壊滅的な影響が生じる可能性があります。

自動運用ツールは適切に使用すると大きな効果を発揮することができますが、その前提には正しい運用がなされていることというのが欠かせないようです。

参考記事(外部リンク):This bug found in Argo CD tool can steal your sensitive
data

thedigitalhacker.com/this-bug-found-in-argo-cd-tool-can-steal-your-sensitive-data/

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。