一种新披露的攻击技术使流行的 GitOps 工具 ArgoCD 中经过身份验证的用户能够窃取强大的 Git 凭据。
该方法由网络安全研究组织 Future Sight 发现,利用 Kubernetes 的内部 DNS 解析来拦截传输中的凭据,对依赖持续交付工具的组织构成重大风险。
ArgoCD 是云原生计算基金会 (CNCF) 领域的领先项目,其功能是将 Kubernetes 清单从 Git 仓库中提取出来,以维护应用程序的预期状态。为此,它存储了用于连接 GitHub 等 Git 服务器的凭证。
虽然这些凭证出于安全考虑隐藏在ArgoCD界面中,但这种新攻击找到了在连接过程中捕获它们的方法。
攻击解释
该技术的核心是内部 DNS 欺骗攻击。攻击者只要攻陷了具有特定权限的 ArgoCD 帐户,就可以在同一 Kubernetes 集群内部署恶意服务。
该服务的命名故意与合法 Git 存储库的域名冲突,例如github.com。
由于 Kubernetes 处理 DNS 的方式,包括 ArgoCD 的存储库服务器在内的 pod 将首先尝试根据内部集群 DNS 解析域名。
github.com攻击者的恶意服务创建指向其自身内部 IP 地址的DNS 记录。
因此,当 ArgoCD 尝试同步存储库时,它会在不知不觉中将连接请求发送给攻击者的代理服务,而不是真正的 GitHub,Future Sight表示。
研究人员将这项服务命名为“Argexfil”,它可以在将流量转发到实际的 Git 服务器之前记录凭据,以避免引起怀疑。
即使存储库使用安全的 HTTPS 连接,此方法仍然有效。该攻击依赖于攻击者拥有向 ArgoCD 添加自定义证书的权限。
通过为其恶意服务生成自签名证书并将其添加到ArgoCD 的受信任证书列表中,攻击者可以成功执行中间人 (MitM) 攻击并解密流量,从而暴露凭据。
该技术可以捕获各种凭证类型,包括用户名/密码组合、个人访问令牌(PAT)以及 GitHub Apps 使用的短期 JWT 和访问令牌。
一旦泄露,这些凭证可能允许攻击者读取或修改源代码,将恶意清单注入部署管道,并可能转向其他系统。
缓解措施
此次攻击并非未经身份验证的用户可利用的零日漏洞。攻击者需要拥有经过身份验证的 ArgoCD 会话,并拥有创建应用程序的权限,对于 HTTPS 目标,还需要拥有证书。
据研究人员称,ArgoCD 团队已获悉该技术。
虽然他们承认这种新颖的方法,但他们并没有将其归类为 ArgoCD 中的直接漏洞,而是将风险归咎于 Kubernetes 的默认 DNS 行为和不安全的用户权限配置。
为了防御这种技术,建议组织采取以下措施:
- 应用最小特权原则,将用户权限限制在所需的最低限度。
- 严格限制哪些用户可以在 ArgoCD 中添加或修改证书。
- 对 ArgoCD 应用程序和内部 Kubernetes 网络流量实施强大的监控。
- 尽可能使用基于 SSH 的 Git 连接,因为密钥交换机制不易受到这种凭证盗窃方法的攻击。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
