Недавно обнаруженная уязвимость в Argo CD привлекает внимание к рискам безопасности платформ GitOps: исследователи предупреждают, что эта уязвимость может позволить злоумышленникам, получившим доступ внутрь кластера Kubernetes, выполнить код и манипулировать развертыванием приложений.
Фирма по кибербезопасности Synacktiv сообщила в отчете, что уязвимость затрагивает компонент Argo CD repo-server, который извлекает содержимое из Git-репозиториев и генерирует манифесты Kubernetes, используемые для развертывания ресурсов в кластере. Argo CD является одним из самых популярных инструментов Kubernetes и основан на парадигме GitOps.
«Argo CD требует значительных привилегий внутри кластера, — заявили в Synacktiv. — Кроме того, он имеет доступ к частным Git-репозиториям, что делает его привлекательной мишенью для злоумышленников».
Проблема связана с незащищенным конечным пунктом gRPC GenerateManifest компонента repo-server. Synacktiv утверждает, что злоумышленник, имеющий доступ к этому конечному пункту, может передать опции Kustomize в запросе на генерацию манифеста и злоупотребить связанными с Helm опциями сборки Kustomize для выполнения команд, контролируемых злоумышленником.
Эксплуатация требует доступа как к порту gRPC repo-server, так и к порту базы данных Redis, которые не должны быть доступны пользователям. По данным Synacktiv, Argo CD предоставляет сетевые политики Kubernetes, предназначенные для предотвращения такого сценария, но эти механизмы защиты не включены по умолчанию в развертываниях Helm chart.
При таких развертываниях компрометации одного пода внутри кластера может быть достаточно, чтобы предоставить злоумышленнику внутренний доступ, необходимый для использования уязвимости.
Synacktiv смогла использовать эту уязвимость для получения пароля Redis из окружения repo-server и доступа к базе данных Redis Argo CD. Затем исследователи манипулировали кэшированными данными о развертывании, что позволило автоматически развернуть вредоносный манифест при включенной функции Auto Sync в Argo CD.
Если Auto Sync не включен, эксплуатация потребует от пользователя ручной синхронизации приложения.
Synacktiv публично раскрыла подробности 1 июля 2026 года, предварительно сообщив о проблеме сопровождающим Argo CD в январе 2025 года. Уязвимость остается без исправления, и фирма рекомендовала использовать строгие сетевые политики Kubernetes для блокировки доступа недоверенных подов к сервисам repo-server и Redis до появления исправления.
Оценка внутреннего воздействия кластера
Для руководителей по информационной безопасности (CISO) ключевой вопрос заключается не только в том, открыт ли Argo CD для интернета, но и в том, могут ли другие рабочие нагрузки внутри кластера Kubernetes получить доступ к его внутренним сервисам.
«Поскольку служба gRPC repo-server не обеспечивает аутентификацию, любой под, который может к ней обратиться, становится эквивалентом аутентифицированного злоумышленника», — заявил Девашри Датта, исследователь кибербезопасности. «В типичном кластере это означает, что любой скомпрометированный под приложения, неправильно настроенная service mesh или соседняя рабочая нагрузка с локальным выполнением кода может напрямую запрашивать конечный пункт GenerateManifest или обращаться к кэшу Redis, без необходимости выхода в интернет».
Организации не должны приравнивать «недоступность из интернета» к «низкому риску», поскольку современные атаки часто начинаются с компрометации внутренней рабочей нагрузки, по словам Сакши Гровер, старшего менеджера по исследованиям сервисов кибербезопасности в IDC Asia/Pacific.
«Поэтому CISO должны оценить, какие рабочие нагрузки могут взаимодействовать с управляющей плоскостью Argo CD, должным ли образом сегментирован трафик east-west и существуют ли ненужные отношения доверия между рабочими нагрузками приложений и инфраструктурой GitOps», — сказала Гровер. «Оценка должна быть сосредоточена на путях атаки, а не на периметре воздействия».
Рассмотрение GitOps как уровня «ноль»
Уязвимость также подчеркивает роль, которую играют платформы GitOps в управлении развертыванием программного обеспечения в корпоративной инфраструктуре.
«Движки GitOps — это не служебные сервисы; это компоненты управляющей плоскости уровня 0», — отметил Датта. «По замыслу, Argo CD имеет права на чтение частных репозиториев, права на синхронизацию/запись в целевые кластеры и хранение секретов развертывания. Он находится на пересечении исходного кода, управления конфигурацией и работающей инфраструктуры».
Такой уровень доступа означает, что компрометация Argo CD может выйти за рамки одного приложения. Злоумышленник может превратить платформу, используемую для развертывания приложений, в канал для вредоносных манифестов, одновременно вмешиваясь в поведение автосинхронизации и извлекая учетные данные, кэшированные в поддерживающих системах, таких как Redis.
Компрометация этих платформ может повлиять на доставку программного обеспечения в масштабе, делая их стратегическими активами, на которые должны распространяться более строгие правила управления и контроля привилегированного доступа, аналогичные тем, что применяются к платформам идентификации и другим критически важным системам управления.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Prasanth Aby Thomas




