Lỗ hổng trong Argo CD: Token quyền thấp vẫn có thể truy xuất thông tin nhạy cảm

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
112
1.089 bài viết
Lỗ hổng trong Argo CD: Token quyền thấp vẫn có thể truy xuất thông tin nhạy cảm
WhiteHat Team
Argo CD là công cụ GitOps phổ biến giúp tự động triển khai ứng dụng từ Git lên Kubernetes, được nhiều tập đoàn lớn như Google, IBM, Adobe, Red Hat sử dụng. Tuy nhiên, mới đây một lỗ hổng trong hệ thống này (CVE-2025-55190) đã được công bố, ảnh hưởng đến tất cả các phiên bản trước 2.13.0. Với điểm CVSS 10/10, lỗ hổng này có thể cho phép tài khoản quyền thấp truy cập thông tin mật của hệ thống.

1757320402098.png

Lỗi này cho phép token API có quyền hạn rất thấp (project-level get permissions) truy cập vào các endpoint API của Argo CD và lấy được toàn bộ thông tin đăng nhập của các kho lưu trữ mã nguồn liên quan đến dự án, bao gồm username và password.

Thông thường, các token ở cấp project-level được dùng để quản lý ứng dụng cơ bản, không được phép truy cập thông tin nhạy cảm như credentials. Tuy nhiên, lỗi này lại bỏ qua cơ chế cách ly, cho phép người dùng có quyền đọc (get) cũng có thể gọi API /project-details và lấy được credentials của repository.

Dù lỗ hổng không thể bị khai thác bởi người dùng không đăng nhập (unauthenticated), nhưng nếu hacker hoặc người dùng nội bộ có được một token hợp lệ dù chỉ có quyền thấp, họ vẫn có thể:
  • Lấy thông tin truy cập repository mã nguồn nội bộ.
  • Clone mã nguồn, phân tích hoặc chỉnh sửa.
  • Cài mã độc (malicious manifest).
  • Tấn công chuỗi cung ứng hoặc xâm nhập các hệ thống khác có dùng chung thông tin xác thực.
Do Argo CD đang được triển khai rộng rãi trong các môi trường Kubernetes sản xuất của các doanh nghiệp lớn, lỗ hổng này mở ra cánh cửa cho việc đánh cắp mã nguồn, gián điệp công nghệ, hoặc cài mã độc sâu vào chuỗi CI/CD.

Mức độ nguy hiểm cao ở chỗ:
  • Token quyền thấp vốn dĩ rất phổ biến và dễ bị rò rỉ.
  • Không cần quyền admin cũng có thể lấy được thông tin nhạy cảm.
  • Có thể bị khai thác từ bên trong hoặc bên ngoài nếu token rơi vào tay kẻ xấu.
Lỗ hổng được phát hiện bởi chuyên gia bảo mật Ashish Goyal và đã được nhóm phát triển Argo CD xác nhận. Bản vá lỗi hiện đã có mặt trong các phiên bản sau:
  • Argo CD 3.1.2
  • Argo CD 3.0.14
  • Argo CD 2.14.16
  • Argo CD 2.13.9
Nếu tổ chức của bạn đang sử dụng Argo CD, hãy kiểm tra ngay phiên bản đang chạy và thực hiện các bước sau:
  1. Cập nhật lên phiên bản đã vá lỗi càng sớm càng tốt.
  2. Rà soát toàn bộ token API đang tồn tại, đặc biệt là các token project-level.
  3. Giới hạn quyền truy cập của token, theo nguyên tắc "ít quyền nhất" (least privilege).
  4. Giám sát API logs để phát hiện các cuộc gọi bất thường đến endpoint /project-details.
  5. Xoá token cũ không còn sử dụng, hoặc tái tạo token mới an toàn hơn.
  6. Kiểm tra các repository để đảm bảo không bị truy cập trái phép.
Khi mã nguồn là trái tim của mọi ứng dụng, và chuỗi CI/CD là mạch máu triển khai, thì việc rò rỉ credentials không còn là lỗi đơn lẻ, mà là một lỗ hổng toàn diện trong chuỗi cung ứng phần mềm. Với CVE-2025-55190, đây là lúc để các tổ chức nghiêm túc nhìn lại hệ thống DevOps và chuẩn hóa các biện pháp kiểm soát quyền, token và truy cập tài nguyên.
WhiteHat
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Lỗ hổng trong SAP S/4HANA: Hacker có thể kiểm soát toàn bộ ERP chỉ bằng User thường
  • WeepSteel và lỗ hổng Sitecore: Khi “khóa mặc định” biến thành cửa ngỏ cho tin tặc
  • Google vá 120 lỗ hổng bảo mật Android, hai lỗ hổng đang bị khai thác trong thực tế
  • Cảnh báo lỗ hổng nghiêm trọng CVE-2020-24363 trong thiết bị TP-Link TL-WA855RE
  • Lỗ hổng nguy hiểm của Sitecore CMS cho phép thực thi mã từ xa
  • MediaTek cảnh báo 7 lỗ hổng trong chip điện thoại có thể bị chiếm quyền từ xa
    • Thẻ
    argo cd credentials cve-2025-55190
    Bên trên