DevOps VietNam

Đăng nhập
Đăng ký
Đăng nhập

Bảo mật Kubernetes: Lỗ hổng DNS khiến ArgoCD gặp rủi ro rò rỉ Git credentials

Một nhóm nghiên cứu bảo mật Future Sight vừa công bố kỹ thuật tấn công mới nhắm vào ArgoCD, cho phép kẻ xấu đánh cắp GitHub credentials thông qua lỗ hổng trong cách ArgoCD xử lý DNS và certificate. Phát hiện này đặt ra lo ngại cho toàn bộ hệ sinh thái GitOps trên Kubernetes.

01994380-f8cd-7ce4-b063-fda0484174ez

Future Sight cho biết kẻ tấn công có quyền truy cập hợp lệ trong ArgoCD có thể lợi dụng cách Kubernetes DNS phân giải tên miền để đánh cắp thông tin đăng nhập GitHub. ArgoCD, vốn được coi là công cụ GitOps phổ biến nhất trong triển khai continuous delivery cho Kubernetes, trở thành mục tiêu vì vai trò quan trọng của nó trong chuỗi CI/CD.

Cụ thể, kẻ tấn công có thể triển khai một Service độc hại có tên github trong namespace com, khiến bản ghi DNS nội bộ trỏ github.com về địa chỉ IP trong cluster. Khi ArgoCD kết nối đến GitHub để tải manifests, quá trình này bị chuyển hướng đến dịch vụ do kẻ tấn công kiểm soát.

Bằng việc chèn chứng chỉ tuỳ chỉnh thông qua tính năng certificate của ArgoCD, kẻ tấn công có thể giải mã Authorization header và trích xuất thông tin nhạy cảm. Các loại dữ liệu có thể bị đánh cắp bao gồm HTTP(S) Basic Auth tokens dành cho Git hoặc Helm, cũng như GitHub App JWTs và access tokens.

Sau khi chiếm được credentials, dịch vụ độc hại tiếp tục proxy kết nối đến GitHub hợp pháp nhằm duy trì hoạt động bình thường, trong khi bí mật ghi lại dữ liệu.

Để thực hiện tấn công, tài khoản ArgoCD cần có quyền tạo chứng chỉ, đọc repositories, ứng dụng và cluster, cũng như có thể xem logs. Future Sight đã phát hành một script thử nghiệm mang tên argexfil_verify.py để kiểm tra quyền hạn và tự động hoá việc khai thác.

Nhóm nghiên cứu khuyến nghị các tổ chức áp dụng nguyên tắc least-privilege cho người dùng ArgoCD, đồng thời giới hạn phạm vi dự án và giám sát chặt chẽ DNS nội bộ cũng như lưu lượng pod-to-pod. Việc tạo chứng chỉ nên chỉ dành cho administrator, và kết nối SSH được ưu tiên hơn HTTPS để giảm nguy cơ rò rỉ.

Ngoài ra, các GitHub tokens nên được cấp với phạm vi tối thiểu. Future Sight cảnh báo kỹ thuật này có thể được mở rộng trong tương lai, chẳng hạn như tiêm YAML manifest độc hại, lợi dụng hệ thống notification của ArgoCD hoặc nhắm vào cluster authentication secrets. Những nền tảng GitOps khác như Flux và CircleCI cũng có thể bị ảnh hưởng.

Báo cáo quan trọng

Article Thumbnail

Sự kiện đang hiện hành

Bài viết nổi bật

Tin tức khác

Chia sẻ bài viết:
Theo dõi
Thông báo của
0 Góp ý
Được bỏ phiếu nhiều nhất
Mới nhất Cũ nhất
Phản hồi nội tuyến
Xem tất cả bình luận