CVE-2022-24348のある継続的デプロイツール

継続的デプロイツールとしていくつものツールがリリースされています。
多くの開発の現場でこういったものが活用されています。
そういったツールの一つに、Argo CDがあります。
Argo CDは、Kubernetesコントローラとして実装されていてGitOpsに則った継続的デプロイができるツールです。
継続的インテグレーションの機能は実装されていませんが、それは他のツールと連携して使用することで実現します。

このArgo CDで脆弱性が確認され、更新が提供されています。
この問題は従来のすべてのバージョンに影響するものですので、利用されている環境では更新が必要です。
といっても、更新が提供されたのは2022年1月30日ですので、きっと賢明な運用がなされている環境ではすでに更新済みのことと思います。

この脆弱性は、悪意を持って作成されたYAMLファイルを脆弱性を持った環境に読み込ませることで、最終的にデータを攻撃者のもとに取り出すことができるようになるものです。
このため、特権の昇格や機密データの開示ができてしまいますし、横方向の移動攻撃や他のアプリケーションからのトークンの流出ができてしまうなど、壊滅的な影響が生じる可能性があります。

自動運用ツールは適切に使用すると大きな効果を発揮することができますが、その前提には正しい運用がなされていることというのが欠かせないようです。

参考記事（外部リンク）：This bug found in Argo CD tool can steal your sensitive
data
thedigitalhacker.com/this-bug-found-in-argo-cd-tool-can-steal-your-sensitive-data/