首页 > 其他分享 >API NEWS | 三个Argo CD API漏洞

API NEWS | 三个Argo CD API漏洞

时间:2023-05-31 11:56:04浏览次数:42  
标签:网关 安全 CD 漏洞 API Argo

欢迎大家围观小阑精心整理的API安全最新资讯,在这里你能看到最专业、最前沿的API安全技术和产业资讯,我们提供关于全球API安全资讯与信息安全深度观察。

本周,我们带来的分享如下:

  • 关于三个Argo CD API漏洞的文章

  • Gartner对API安全的看法

  • 分布式标识是现代API安全的关键

 关于三个Argo CD API漏洞的文章

 Argo CD是Kubernetes中最受欢迎和增长最快的GitOps工具。当遵循GitOps部署模式时,Argo CD可以轻松定义一组应用程序,它们在存储库中具有所需的状态以及它们应该部署的位置。部署后,Argo CD会持续监控状态,甚至可以捕捉配置漂移。

一篇由Security Boulevard提供的漏洞文章,涵盖了Argo CD部署平台中的三个独立的API漏洞。

第一个漏洞 (CVE-2023-22736)是一个允许绕过授权的严重漏洞。Argo CD软件中存在一个漏洞,会使得恶意用户在没有得到授权的情况下,在系统允许范围外部署应用程序。这个漏洞只影响启用了“任何命名空间中的应用程序”功能的用户,并且从2.5.0版本开始就存在。但是,现在Argo CD发布了2.5.8和2.6.0-rc5补丁来修复这个问题。如果您使用的是Argo CD,请及时升级到最新版本以保护您的系统安全。

第二个漏洞 (CVE-2023-22482)是由不当授权导致的严重问题。由于Argo CD在验证令牌时没有检查受众声明,导致攻击者可以使用无效的令牌来获取权限。如果您使用的OIDC提供商同时为其他用户提供服务,那么您的系统将接受来自这些用户的令牌,并根据用户组权限授予对应的权限,这就非常危险了。该漏洞影响所有从v1.8.2开始的Argo CD版本。为了修复这个问题,Argo CD发布了版本2.6.0-rc5、2.5.8、2.4.20和2.3.14中的补丁,引入了一个新的功能——“允许受众”,允许用户指定他们想要允许的受众。如果您正在使用Argo CD,请尽快更新到最新版本并配置好“允许受众”,以保护您的系统。

第三个漏洞(CVE-2023-25163)是Argo CD软件中的一个问题,会导致存储库访问凭据泄露。这个漏洞的严重程度中等,会在未能正确清理输出时,泄露敏感信息。此问题影响所有从v2.6.0-rc1开始的Argo CD版本。如果您正在使用受影响的版本,建议尽快升级到更新的版本来修复这个漏洞,以保护您的系统安全。

 最近的这些漏洞再次强调了API安全性的重要性,也显示出公司必须高度关注保护其API。随着API在现代应用程序中的广泛使用,攻击者越来越频繁地利用API漏洞来入侵系统。因此,保护API已经成为任何组织安全策略中的至关重要的一部分,需要采取安全措施和最佳实践来确保数据和系统的安全。只有这样,才能保证企业在数字化时代获得最高水平的安全保障。

 

关于Gartner 对 API 安全的看法

 Gartner副总裁分析师兼软件工程研究主管Mark O'Neill对最近发布的第4份年度API现状报告的看法,该报告收集了来自 850多名全球开发人员的意见。

 O'Neill的第一个观察结果是,组织在其资产中部署多个API网关(及多个云提供商)。这使得API策略的集中管理成为一个复杂的问题,因为分布式环境缺乏良好的联合管理解决方案。因此,团队不得不独立管理多个网关。

  • O'Neill的第二个观察结果是,API管理和安全性因使用的API类型种类繁多而变得复杂,比如:REST、Webhooks、Websockets、SOAP、GraphQL、Kafka、AsyncAPI、gRPC。从安全角度来看,特别值得注意的是GraphQL,它允许跨数据进行深入且广泛的查询,因此很难分辨要保护什么数据。另外,GraphQL也是无状态显示的,因此安全团队必须正确实施身份验证和授权。

 在资产中部署多个API网关可能会带来以下缺点:

  • 复杂性增加:多个API网关的部署可能会导致系统复杂性的增加,包括配置、管理、监控和维护等方面的复杂性,这可能会增加管理工作量,并可能导致更多的故障和问题。

  • 安全性降低:多个API网关的部署可能会增加安全风险。对于每个API网关的维护和更新都需要进行独立的安全审计和更新,这可能会导致遗漏漏洞或错误配置的情况出现,从而降低系统的整体安全性。

  • 性能受影响:多个API网关的部署可能会导致性能降低,因为每个API网关都需要处理网络和访问控制等方面的开销,这可能会增加延迟和资源消耗。

  • 难以维护:使用多个API网关也可能会使维护变得困难,因为不同的API网关可能使用不同的技术和配置方法,这可能会导致混乱和错误的配置。

 

O'Neill对API安全有以下建议:

  • 确保管理者拥有组织内API的最新清单,这包括上游和下游API以及内部和外部 API。

  • 采用API标准(如开放银行计划)来改善整体安全状况。

 小阑解读,通过以下安全手段,可以改善提高系统的性能、可用性和安全性:

  • 优化架构:通过进行系统设计和架构优化,可以将多个API网关合并为一个更简单、更统一的API网关。这有利于降低复杂性、提高安全性、提升性能,并且更易于管理和维护。

  • 集中管理:使用集中式API管理工具,可以减少重复的配置和管理工作,以及统一审计和更新API网关。这样可以提高管理效率、降低出错率并加强整体安全性。

  • 实时监控:使用实时监控工具可以对所有API网关进行统一的监控和报告。这样可以快速发现和解决问题,从而提高系统的可用性和稳定性。

  • 强化安全:采取多层次的安全策略,包括防火墙、入侵检测、访问控制和数据加密等技术,可以增强系统的整体安全性。此外,还可以使用完备的安全审计和漏洞扫描等手段,确保系统的安全性得到全面保障。

 

预计未来的API管理工具将会继续解决身份验证和授权方面的挑战,同时还会出现API特定的“扫描和发现”工具。此外,安全工具还可以提供运行时保护功能,微网关则可以在一定程度上防止API攻击。换句话说,未来开发API时,需要使用一些专门的工具来解决涉及身份验证、授权、安全等问题,从而提高API的安全性和可靠性。同时,通过使用这些特定的工具和技术,可以更好地发现和解决API中存在的安全漏洞或问题,确保API系统稳定、可靠、安全。

 

关于分布式标识是现代API安全的关键

 来自Curity的分享,是一篇关于分布式标识的文章。分布式标识确实是现代API安全的关键之一。其主要作用是为了确保API调用者的身份验证和授权。传统的单点登录方案已经不能满足云计算、微服务、容器化等复杂环境下API的安全需求。

 在分布式系统中,API调用者身份的认证和授权需要跨越多个服务边界进行验证,因此需要一个支持分布式场景的标识体系。具体而言,分布式标识需要包括以下几个方面:

  • 全局唯一性:分布式标识必须是全局唯一的,这意味着每个请求都必须带有唯一标识以便于统计、审计和识别。

  • 安全性:分布式标识必须是安全的,不可伪造的,以保证认证和授权的合法性。例如,使用OAuth 2.0协议可以通过令牌机制提供安全的认证和授权服务。

  • 可扩展性:分布式标识必须是可扩展的,在系统规模扩大的情况下,它能够无缝地融入到整个系统中,以满足业务需求。

 身份分配在实践中存在一些挑战,其中包括:

  • 复杂的身份管理:身份分配通常涉及到复杂的身份管理工作,例如用户帐号和角色定义、权限管理等。这些管理工作需要定期更新和维护,以确保系统的安全性和完整性。

  • 身份认证难度:身份分配需要执行正确的身份认证,但不同类型的身份认证可以有不同的挑战。例如,基于口令的认证可能面临密码泄露或者强度不足等问题,而基于生物特征的认证可能面临误识别和欺骗攻击等问题。

  • 信任建立:身份分配需要建立各个系统间的信任关系,并确保身份信息的传递是可靠和安全的。这需要使用合适的加密措施以及可靠的身份验证和授权协议。

  • 风险管理:身份分配面临一些风险,例如,身份被盗用、身份信息泄露、未经授权访问等。因此,身份分配需要结合风险管理策略,采取多种安全措施来防范这些风险的出现。

  • 相互兼容:在多个系统或应用程序间实现身份共享和分配时,需要保证各系统之间的互操作性和数据兼容性。这需要使用标准化身份协议和API接口,以确保不同系统之间能够良好地交互和共享身份信息。

 分发标识的最佳实践:

  • 采用身份和访问管理(IAM)工具来管理身份:使用IAM工具可以帮助您自动化身份分配和权限控制,从而提高效率和安全性。此外,IAM 工具还支持身份验证、多因素认证、网关和应用程序防火墙等功能。

  • 采用安全标识协议:使用安全标识协议来加强对分发标识的安全性,例如OAuth2.0,OpenID Connect等。这些协议可以帮助您确保分发的标识是可靠、安全的,而不会泄露出去。

  • 推行最小化权限策略:在分发标识时,一定要遵循最小化原则,只分配必需的权限,以减少攻击面。这可以通过基于角色进行权限管理来实现,并使用多层次的安全策略确保分发的身份是具有限制的。

  • 使用公钥加密技术来保护数据:使用公钥加密技术来加密和存储分发标识数据可以保证数据安全,使攻击者更难突破和泄漏。

  • 实现审计与监控: 需要实施审计与监控解决方案来跟踪和记录身份和访问管理活动,以便及时发现并回应安全事件和威胁。

  • 建立标准流程和规范:建立分发标识的流程和规范,包括身份验证、授权程序等,可以帮助保证认证和授权的一致性和完整性。

 

感谢 APIsecurity.io 提供相关内容

 

关于星阑

星阑科技基于AI深度感知和强大的自适应机器学习技术,帮助用户迅速发现并解决面临的安全风险和外部威胁,并凭借持续的创新理念和以实战攻防为核心的安全能力,发展成为国内人工智能、信息安全领域的双料科技公司。为解决API安全问题,公司从攻防能力、大数据分析能力及云原生技术体系出发,提供全景化API识别、API高级威胁检测、复杂行为分析等能力,构建API Runtime Protection体系。

星阑科技产品——萤火 (API Intelligence) 拥有不同应用场景的解决方案,适配服务器、容器集群、微服务架构以及云平台等多种架构。通过API资产梳理、漏洞管理、威胁监测、开放式数据平台、运营与响应能力,解决企业API漏洞入侵、行为异常、数据泄露等核心风险。

标签:网关,安全,CD,漏洞,API,Argo
From: https://www.cnblogs.com/starcross/p/17445713.html

相关文章

  • SpringBoot定义优雅全局统一Restful API 响应框架五
    闲话不多说,继续优化全局统一RestfulAPI响应框架做到项目通用接口可扩展。如果没有看前面几篇文章请先看前面几篇SpringBoot定义优雅全局统一RestfulAPI响应框架SpringBoot定义优雅全局统一RestfulAPI响应框架二SpringBoot定义优雅全局统一RestfulAPI响应框架三Sp......
  • 【最佳实践】如何设计 RESTful API ?
    良好的API设计是一个经常被提及的话题,特别是对于那些试图完善其API策略的团队来说。一个设计良好的API的好处包括:改进开发者体验、更快速地编写文档以及更高效地推广你的API。但是,到底什么才构成了良好API设计呢?在这篇博客文章中,我将详细介绍几个为RESTfulAPIs设计最......
  • 利用API来管理zabbix
    前置设置设置问题告警模板需要在告警消息中添加自定义模板告警主机:{HOST.NAME}告警地址:{HOST.IP}监控项目:{ITEM.NAME}告警等级:{TRIGGER.SEVERITY}当前状态:{TRIGGER.STATUS}值={ITEM.LASTVALUE}告警信息:{TRIGGER.NAME}告警时间:{EVENT.DATE}{EVENT.TIME}事件ID:{EVENT.I......
  • 一分钟学一个 Linux 命令 - cd
    前言大家好,我是god23bin。欢迎来到这个系列,每天只需一分钟,记住一个Linux命令不成问题。今天让我们从cd命令开始,掌握在Linux系统中切换目录的技巧。什么是cd命令?cd命令来自这么一个词语,changedirectory,意思为「切换目录」,这是一个非常基础且常用的命令。顾名思义,cd......
  • C# WebApi接收参数的常用方式
    C#后端开发请求相关知识C#WebApi接收参数的常用方式查询字符串参数:查询字符串是通过HTTPGET请求中的URL中传递的键值对。在WebAPI中,可以使用以下方式获取查询字符串参数://使用Request.QueryString获取单个查询字符串参数stringname=Request.QueryString["name......
  • fastapi
    FastAPI是一个基于Python的现代、快速(高性能)的Web框架,用于构建WebAPI。它具有简洁的语法、自动的API文档生成和交互式测试界面,以及高性能的异步支持  ......
  • Pytorch高级api搭建多层感知机实战
    Pytorch高级api搭建多层感知机实战代码importtorchimporttorch.nn.functionalasFimporttorch.optimasoptimfromtorchvisionimportdatasets,transformsbatch_size=200learning_rate=0.01epochs=10train_loader=torch.utils.data.DataLoader(da......
  • 【Oracle】Check size of datafiles and tempfile tablespaces used in CDB and PDB
       --WX:DBAJOE399--setline200pages999columnnamefora10columntablespace_namefora15column"MAXSIZE(GB)"format9,999,990.00column"ALLOC(GB)"format9,999,990.00column"USED(GB)"format9,999,990.00selec......
  • "以API接口快速获得aliexpress速卖通商品详情-返回值说明
     为了方便商家获取速卖通上的商品信息,速卖通提供了API接口来获取商品数据。本文将介绍如何通过API接口获取速卖通商品数据。一、申请API接口权限在使用API接口前,首先需要在速卖通官网注册账号并通过实名认证。然后,在个人资料页面找到开发者中心,申请API接口权限。在申请权限时,需要......
  • pcdn go 采集nat类型
    packagemainimport( "fmt" stun"github.com/ppma/nat-type")const( STUN_SERVER="stun.qq.com" STUN_PORT=3478)funcmain(){ localAddr:=fmt.Sprintf("%s:%d","192.168.8.109",8569) stunAd......