Three New Critical Vulnerabilities Uncovered in Argo
2024/03/18 InfoSecurity — Kubernetes セットアップで用いられる人気の GitOps CD (Continuous Delivery) ツール Argo に存在する3つの深刻な脆弱性を、KTrust のセキュリティ研究者たちが発見した。これらの脆弱性の悪用に成功した攻撃者は、ブルートフォース巧撃に対するレートリミット保護メカニズムをバイパスし、サービス拒否 (DoS) 攻撃を誘発することで、システム・セキュリティに重大なリスクをもたらし、最終的にはユーザー・アカウントの安全性を損なうことになる。
1つ目の脆弱性 CVE-2024-21662 は、キャッシュ・システムに過負荷をかけることで、レートリミットとブルートフォース保護をバイパスし、それにより保護を無効化し、システムの応答を攻撃に対して脆弱にする。
KTrust の研究者たちは、各種のユーザー・アカウントにまたがるログイン試行を、システムに殺到させることで、このレートリミットを破壊した。
同社のアドバイザリには、「この試行の洪水は、キャッシュの容量を超えるものである。それにより、管理者アカウントへのログイン試行の失敗などの、古いエントリの破棄を余儀なくされた」と記されている。
2つ目の脆弱性 CVE-2024-21652 は、アプリケーションのクラッシュによるブルートフォース保護のバイパスを組み合わせることで、メモリ内のデータを破壊し、ログイン試行における回数制限を無効化するものだ。
3つ目の脆弱性 CVE-2024-21661 は、深刻度の高いリスクをもたらす。この脆弱性は、マルチスレッド環境における不適切な配列操作による DoS 攻撃を可能にする。KTrust の CTO である Nadav Aharon-Nov は、「この欠陥は、アプリケーションのコーディング方法の中に存在する。具体的に言うと、配列の反復処理により変更が行われる場合に発生する。この脆弱性は、2023年9月の時点で Argo に報告されている。また、Argo の次期バージョンで、これらの問題は対処される予定のようだ」と述べている。
KTrust は、「この発見が浮き彫りにするのは、安全であると信じられているシステムの脆弱性を悪用する、我々の能力である。開発者やセキュリティの専門家が、セキュリティ・プロトコルを継続的に更新/強化するための、重要な注意喚起となる。このセキュリティ・ホールに対して迅速に対処することが、影響を受けるシステムに対する、潜在的なセキュリティ侵害を防ぐためには不可欠である」と付け加えている。
この記事の執筆段階で、Infosecurity は Argo に接触を試みたが、これらの脆弱性に関する回答は得られていない。
Kubernetes 環境を防御するための戦術として挙げられるのは、堅牢なアクセス制御の実装/ソフトウェア/コンポーネントの定期的なアップデート/ネットワーク・セグメンテーションの採用/定期的なセキュリティ監査と評価の実施などである。
つい先日の 2022/02/04 にも、「Argo CD の脆弱性が FIX:Kubernetes アプリから機密情報が漏れてしまう」という記事がポストされていました。また、先ほどの「Podman/Buildah の脆弱性 CVE-2024-1753 が FIX:ただちにアップデートを!」も、コンテナに関する話です。よろしければ、カテゴリ Container も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.