Des chercheurs en sécurité ont découvert trois vulnérabilités critiques au sein d'Argo, un outil populaire de livraison continue GitOps utilisé dans les configurations Kubernetes.

Les vulnérabilités, identifiées par les chercheurs internes de KTrust, présentent des risques importants pour la sécurité du système, notamment en contournant les mécanismes de protection de la limite de taux et de la force brute, en déclenchant des attaques par déni de service (DoS) et en compromettant la sécurité des comptes d'utilisateurs.

La première vulnérabilité, CVE-2024-21662, consiste à contourner les mécanismes de protection par force brute et par limite de vitesse en surchargeant le système de cache, ce qui réinitialise les protections et rend le système vulnérable aux attaques.

"Les chercheurs de KTrust ont exploité cette limitation en inondant le système de tentatives de connexion à travers divers comptes d'utilisateurs", écrit la société.

"Ce flot de tentatives a dépassé la capacité du cache, l'obligeant à rejeter les entrées les plus anciennes, y compris les tentatives de connexion échouées du compte administrateur."

La deuxième vulnérabilité, CVE-2024-21652, exploite une combinaison de faiblesses pour contourner la protection par force brute par le biais de plantages d'applications, ce qui entraîne la perte de données en mémoire et permet des tentatives de connexion répétées sans restriction.

La troisième vulnérabilité, CVE-2024-21661, présente un risque de gravité élevée. Elle permet des attaques par déni de service en raison d'une mauvaise manipulation des tableaux dans un environnement multithread.

"Cette faille existe dans les pratiques de codage de l'application. Elle se produit lorsqu'un tableau est modifié simultanément pendant qu'il est itéré". Explique KTrust.

En savoir plus sur la sécurité de Kubernetes : Plus de la moitié des utilisateurs signalent des incidents liés à la sécurité de Kubernetes et des conteneurs

Selon Nadav Aharon-Nov, directeur technique et cofondateur de KTrust, les vulnérabilités ont été signalées à Argo en septembre 2023. Argo prévoirait de résoudre ces problèmes dans une prochaine version de son produit.

"Cette découverte met en évidence notre capacité à exploiter des vulnérabilités dans des systèmes considérés comme sûrs et rappelle aux développeurs et aux professionnels de la sécurité qu'ils doivent constamment mettre à jour et renforcer leurs protocoles de sécurité", a ajouté le dirigeant.

Les tactiques pour défendre les environnements Kubernetes comprennent la mise en œuvre de contrôles d'accès robustes, la mise à jour régulière de la base de données Kubernetes.