Уязвимость 0-day в Argo CD грозит кражей секретов из приложений Kubernetes

Уязвимость 0-day в Argo CD грозит кражей секретов из приложений Kubernetes

Уязвимость 0-day в Argo CD грозит кражей секретов из приложений Kubernetes

В платформе Argo CD обнаружена уязвимость нулевого дня, позволяющая выйти за пределы экосистемы приложения, развернутого в Kubernetes, и украсть конфиденциальные данные из другой программы — например, сохраненные пароли или ключи API.

Декларативный GitOps-инструмент непрерывной доставки Argo CD упрощает и автоматизирует развертывание контейнеризованных приложений в кластерах Kubernetes, обеспечивая управление жизненным циклом в реальном времени. Эта популярная платформа с открытым исходным кодом обычно реализуется как облачный Kubernetes-контроллер, который непрерывно мониторит запущенные приложения, сравнивая текущий статус с тем, что определен в Git-репозитории.

Уязвимость CVE-2022-24348 (7,7 балла CVSS) классифицируется как выход за пределы рабочего каталога. Согласно описанию, эксплойт осуществляется с помощью специально созданной Helm-диаграммы — файла YAML, который по сути является симлинком, указывающим на объект вне корневого каталога репозитория.

 

Загрузка вредоносной Helm Chart в систему Argo CD возможна лишь при наличии разрешения на создание или обновление приложений Kubernetes. Автор атаки также должен знать или угадать полный путь к целевому файлу values.yaml.

Успешный эксплойт позволяет раздобыть конфиденциальные данные, с помощью которых можно развить атаку на ресурсы организации. Патч для CVE-2022-24348 в Argo CD включен в состав сборок 2.3.0, 2.2.4 и 2.1.9.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Max будет интегрирован с Госуслугами к ноябрю

Мессенджер Max, которого называют главным претендентом на статус национального, планируют интегрировать с порталом «Госуслуги» осенью 2025 года — ориентировочно в октябре–ноябре. Полный набор заявленных функций должен быть реализован к началу 2026 года.

Такой прогноз озвучила сенатор Ольга Епифанова в комментарии сетевому изданию «Газета.RU». По её словам, появление подобного супераппа значительно упростит и ускорит основные процедуры взаимодействия граждан с государством.

«Интеграция долгожданного национального мессенджера с порталом “Госуслуги” и системой ЕСИА ожидается осенью 2025 года — предположительно в октябре–ноябре. Завершение переноса всех функций планируется к началу 2026 года. Мессенджер объединит цифровую идентификацию, доступ к госуслугам и возможность совершать финансовые операции», — сообщила сенатор.

Уже с сентября Max будет предустанавливаться на все новые устройства, поставляемые в Россию. Пользователи смогут вести переписку не только на русском языке, но и на официальных языках субъектов РФ.

Ключевым преимуществом, по мнению Ольги Епифановой, станет высокий уровень безопасности. Регистрация в мессенджере будет невозможна с использованием виртуальных номеров, а звонки с незарегистрированных номеров и активность ботов — блокироваться. Все пользовательские данные будут храниться исключительно на территории России.

«Факт того, что любые действия пользователя — от переписки до финансовых операций — окажутся в поле зрения государственных структур, будет полезен при разрешении споров с банками, организациями и в судах, особенно если человек стал жертвой мошенников. Данные планируется хранить исключительно в России. Всё это — в интересах национальной безопасности и индивидуальной цифровой защищённости каждого гражданина», — резюмировала Ольга Епифанова.

Накануне президент Владимир Путин подписал закон о создании многофункционального цифрового сервиса — национального мессенджера. Наибольшие шансы получить этот статус сейчас имеет вышедший в марте Max от ВК.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru