Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en Argo CD (CVE-2023-22736)

Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
26/01/2023
Última modificación:
07/08/2024

Descripción

Argo CD es una herramienta declarativa de entrega continua de GitOps para Kubernetes. Las versiones que comienzan con 2.5.0-rc1 y superiores, anteriores a 2.5.8 y la versión 2.6.0-rc4, son vulnerables a un error de omisión de autorización que permite a un usuario malintencionado de Argo CD implementar aplicaciones fuera de los espacios de nombres permitidos configurados. Los espacios de nombres de aplicaciones reconciliados se especifican como una lista de patrones globales delimitados por comas. Cuando la fragmentación está habilitada en el controlador de aplicaciones, no aplica esa lista de patrones al conciliar aplicaciones. Por ejemplo, si los espacios de nombres de las aplicaciones están configurados para ser argocd-*, el controlador de la aplicación puede conciliar una aplicación instalada en un espacio de nombres llamado other, aunque no comience con argocd-. La conciliación de la aplicación fuera de los límites solo se activa cuando la aplicación se actualiza, por lo que el atacante debe poder provocar una operación de actualización en el recurso de la aplicación. Este error solo se aplica a los usuarios que han habilitado explícitamente la función "aplicaciones en cualquier espacio de nombres" configurando `application.namespaces` en el ConfigMap argocd-cmd-params-cm o configurando de otro modo los indicadores `--application-namespaces` en los componentes del controlador de aplicaciones y del servidor API. La función de aplicaciones en cualquier espacio de nombres se encuentra en versión beta a partir de la fecha de publicación de este aviso de seguridad. El error también se limita a las instancias de Argo CD donde la fragmentación se habilita aumentando el recuento de "réplicas" para el controlador de la aplicación. Finalmente, el campo `sourceNamespaces` de AppProjects actúa como una verificación secundaria contra este exploit. Para provocar la conciliación de una aplicación en un espacio de nombres fuera de los límites, debe estar disponible un AppProject que permita aplicaciones en el espacio de nombres fuera de los límites. Se lanzó un parche para esta vulnerabilidad en las versiones 2.5.8 y 2.6.0-rc5. Como workaround, ejecutar solo una réplica del controlador de la aplicación evitará que se aproveche este error. Asegurarse de que todos los espacios de nombres de origen de AppProjects estén restringidos dentro de los límites de los espacios de nombres de aplicaciones configurados también evitará la explotación de este error.

Impacto

Vector 3.x
CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.50 ALTA
Vector: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Modificado
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x
8.50
Gravedad 3.x
ALTA

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:argoproj:argo_cd:*:*:*:*:*:*:*:* 2.5.0 (incluyendo) 2.5.8 (excluyendo)
cpe:2.3:a:argoproj:argo_cd:2.6.0:rc1:*:*:*:*:*:*
cpe:2.3:a:argoproj:argo_cd:2.6.0:rc2:*:*:*:*:*:*
cpe:2.3:a:argoproj:argo_cd:2.6.0:rc3:*:*:*:*:*:*
cpe:2.3:a:argoproj:argo_cd:2.6.0:rc4:*:*:*:*:*:*

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página


Referencias a soluciones, herramientas e información