Argo CD处理了第一个Zero-Day CVE

作者：Dan Garfield

在过去的 18 个月里，Argo 项目一直致力于提高整个平台的安全性。除了在 2021 年初完成安全审计，创建更好的安全响应策略，增加 Snyk 来扫描漏洞，现在实施模糊测试，该项目一直在改进整体的安全方法和姿态。安全不是你可以简单地附加到一个项目上的东西，它需要被嵌入到 DNA 中。在此，我们将分享这些更好的安全策略如何帮助我们以快速和负责任的方式响应CVE-2022-24348[1]。

发现 CVE-2022–24348

2022 年 1 月 30 日，Apiiro 的安全研究人员发现了一个漏洞，攻击者可以构建一个恶意 Helm chart，以泄露机密、令牌和其他敏感信息，这些信息可能随后被用于特权升级。为了加载恶意 Helm chart，攻击者需要已经是 Argo CD 中的有效用户。Apiiro 的安全团队通过Argo CD 安全策略中列出的负责的披露[2]立即通知了 Argo 团队。那些对技术细节感兴趣的人可以阅读Apiiro 的优秀文章[3]。

安全响应

一旦 Argo 项目的安全团队接到通知，他们立即开始与 Apiiro 的研究小组合作，以确定解决方案。2 月 3 日，Argo 团队在 48 小时内发布了修复程序，同时公开披露了 CVE 事件，并向 Argo CD 用户发布了安全建议[4]。根据 Argo CD 支持政策，对最新的两个版本以及最新的 RC 分支（v2.3.0, v2.2.4, v2.1.9）发布了补丁。

处理安全漏洞和零日（zero-day）通知是每个软件产品团队必须开发的一块肌肉。在这种情况下，Argo 团队能够非常迅速地解决问题，并提供负责任的信息披露。

最终，作为一个团队，Argo 社区非常努力地保持一个主动的安全方法，我们感谢 Apiiro 团队负责地披露了这个问题。我们将继续对我们的安全流程进行改进，但很高兴看到现有流程在解决这个问题方面的表现。

如果你有兴趣参加过程，Argo SIG 安全会议每两周审查潜在的问题和提高项目安全性。你可以在Argo 项目日历[5]上找到这些会议。

时间轴

2022 年 1 月 30 日：向 Argo 项目安全团队报告漏洞 2022 年 1 月 30 日：Argo 团队验证并确认了该漏洞 2022 年 1 月 31 日：相互继续分类，以了解和讨论脆弱性的程度和影响 2022 年 2 月 1 日：Argo 团队向 Apiiro 报告了补丁、修复和发布计划的进展情况 2022 年 2 月 3 日：同步发布公告、补丁和博客

鸣谢

特别感谢 Moshe Zioni，Apiiro 安全研究副总裁，以及 Argo 的维护人员，他们采取了如此迅速的行动。

参考资料

[1]CVE-2022-24348: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-24348

[2]Argo CD 安全策略中列出的负责的披露: https://github.com/argoproj/argo-cd/blob/master/SECURITY.md#reporting-a-vulnerability

[3]Apiiro 的优秀文章: https://apiiro.com/blog/malicious-kubernetes-helm-charts-can-be-used-to-steal-sensitive-information-from-argo-cd-deployments/

[4]安全建议: https://github.com/argoproj/argo-cd/security/advisories/GHSA-63qx-x74g-jcr7

[5]Argo 项目日历: https://calendar.google.com/calendar/u/0/embed?src=argoproj@gmail.com