>> サイバーニュース > CVE-2022-24348: ArgoCDの主要なサプライチェーンゼロデイ
サイバーニュース

CVE-2022-24348: ArgoCDの主要なサプライチェーンゼロデイ

CVE-2022-24348: ArgoCDの主要なサプライチェーンゼロデイ
CVE-2022-24348は、Argo CDの重大度の高いセキュリティの脆弱性であり、脅威の攻撃者が被害者のアプリケーション開発環境にアクセスできるようにする可能性があります。, パスワードの収集を可能にする, APIキー, トークン, 他のデリケートな詳細の中で.

ArgoCDのCVE-2022-24348にはすぐにパッチを適用する必要があります

この脆弱性は、Apiiroのセキュリティ研究チームによって発見されました. 研究者たちは、この欠陥を「ArgoCDの主要なソフトウェアサプライチェーンのゼロデイ脆弱性」と説明しています。 Argo CDは、統合後のアプリケーション展開の実行と監視を管理する、人気のあるオープンソースの継続的デリバリープラットフォームです。. このプラットフォームは、世界中の何千もの組織で使用されています, 脆弱性の影響を強調する.




CVE-2022-24348の脆弱性により、攻撃者がKubernetes Helm Chart YAMLファイルをロードし、アプリケーションエコシステムからユーザーの範囲外の他のアプリケーションのデータに移動する可能性があります, アピイロの報告によると. 欠陥のおかげで, ハッカーは、さまざまな攻撃シナリオでさまざまな種類の機密情報を読み取って盗み出すことができます, 特権の昇格を含む, 機密情報の開示, 横方向の動きの攻撃.

「ArgoCDの寄稿者は、この弱点を認識していましたが、 2019 アンチパストラバーサルメカニズムを実装しました, コントロールのバグにより、この脆弱性が悪用される可能性があります,」研究者 了解しました.

「アプリケーションファイルには通常、他動詞の秘密の値が含まれているためです。, トークンと環境に配慮した設定–攻撃者はこれを効果的に使用して、さまざまなサービスを横方向に移動し、特権をエスカレートしてシステムとターゲット組織のリソースをさらに強化することで、キャンペーンをさらに拡大できます。,」レポートが追加されました.

あなたが管理者の場合, 利用可能なArgoCDパッチをすぐに適用する必要があります.

去年, 欧州ネットワーク情報セキュリティ機関, 略してENISA分析として知られています 24 最近の攻撃, 1月の間に発見された 2020 そして7月上旬 2021, ハイライトする ソフトウェアサプライチェーン攻撃の脅威. エージェンシーが分析した攻撃のいくつかには、カセヤの事例が含まれています, SolarWindsOrionソフトウェア, CDNプロバイダーMimecast, Codecov, Apple Xcode, アクセリオン.

ミレーナ・ディミトロワ

プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする

その他の投稿

フォローしてください:
ツイッター

コメントを残す

あなたのメールアドレスが公開されることはありません. 必須フィールドは、マークされています *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our プライバシーポリシー.
同意します