아르고CD, 경로 탐색 취약점 발견…긴급 패치 배포

[지디넷코리아]

쿠버네티스 기반 환경에서 데브옵스 플랫폼으로 많이 쓰이는 아르고CD에서 비밀번호와 API 키에 우회 접근하는 보안취약점이 발견됐다. 이에 아르고CD 프로젝트 개발팀은 긴급 패치를 내놓고 이용자의 빠른 대응을 요청했다.

4일 미국 지디넷에 따르면, 아피로의 보안연구팀은 아르고CD에서 비밀번호와 API 키 같은 민감성 정보에 접근하게 해주는 제로데이 취약점을 발견했으며 관련 패치를 배포했다고 발표했다.

아르고CD는 대중적인 오픈소스 CD 플랫폼이다. 새로 발견된 취약점은 악의적 액터로 쿠버네티스 HELM 차트 YAML 파일을 취약점에 로드하고 그들의 애플리케이션 생태계에서 사용자 범위 밖의 애플리케이션 데이터로 뛰어넘을 수 있게 한다. 새 취약점은 CVE-2022-24348 태그로 지정됐으며 CVSS 점수는 7.7이다.

이 액터는 다른 애플리케이션에 있는 데이터를 읽고 추출할 수 있다.

아피로 측은 아르고CD의 모든 버전이 경로 탐색 버그에 취약하며 저장소의 루트 디렉토리 외부 임의 파일을 가리키는 실질적인 기호 링크 값 파일을 포함하는 특수 HELM 차트 패키지를 만드는 게 가능하다고 설명했다.

아르고CD 측은 "애플리케이션을 만들거나 업데이트할 수 있는 권한을 가진 공격자가 유효한 YAML 포함 파일의 전체 경로를 알고 있거나 추측할 수 있는 경우 해당 YAML을 값 파일로 사용하는 악의적 HELM 차트를 생성할 수 있으므로, 통상적으로 확보할 수 없는 데이터에 접근할 수 있다"고 밝혔다.