[KRCERT]Argo CD 제품 보안 업데이트 권고

내용 요약

Argo CD에서 CVE‑2025‑55190 에 따라 자격 증명 노출 취약점이 발견되었습니다.
2025 년 9 월 10일 기준, 2.2.0‑rc1 이하와 과거 메이저 릴리즈가 취약하며, 최신 버전으로 업그레이드가 필수적입니다.
업그레이드 전 버전 확인·백업→업데이트→검증 단계로 신속히 대응하시기 바랍니다.

핵심 포인트

• 취약점 종류: 자격 증명 노출 (Credential Exposure) – CVE‑2025‑55190
• 영향 범위: Argo CD 2.2.0‑rc1 이하, 3.1.2, 3.0.14, 2.14.16, 2.13.9 등
• 대응 방안: 각 제품별 권장 버전(v3.1.2, v3.0.14, v2.14.16, v2.13.9)으로 즉시 업그레이드

기술 세부 내용

1️⃣ CVE‑2025‑55190: 자격 증명 노출

• 현상
  • Argo CD API 서버가 내부 인증 토큰을 로그에 노출하거나, 외부에 부적절히 전달하는 코드가 존재합니다.
  • 공격자는 이를 통해 클러스터 내부 자격 증명을 획득, 무단 접근이 가능해집니다.
• 영향
  • Kubernetes 클러스터 전반에 걸쳐 권한 상승 및 리소스 조작 위험.
  • 외부로부터의 공격 표면이 확대되어 서비스 가용성에 직·간접적 손해 발생 가능.
• 비용
  • 보안 사고 발생 시 데이터 유출, 비즈니스 신뢰도 하락 및 복구 비용이 크게 상승합니다.

2️⃣ 대응 절차 (업그레이드 단계)

1. 버전 확인
   • 출력된 Server version이 v2.2.0-rc1 이하인지, 혹은 위 표에 명시된 버전인지 확인합니다.
2. argocd version
3. 백업 준비
   • argocd repo add로 연결된 Git 저장소의 현재 상태를 별도 브랜치에 커밋합니다.
   • kubectl get all -n argocd -o yaml > argocd_backup.yaml 로 클러스터 리소스 백업합니다.
4. 업그레이드 실행
   • Helm 사용 시:
     

     helm upgrade argocd argo/argo-cd \
       --namespace argocd \
       --set image.tag=v3.1.2   # 최신 버전으로 교체
     

   • 설치 스크립트 사용 시:
     

     kubectl delete -n argocd -l app.kubernetes.io/name=argocd
     kubectl apply -f https://raw.githubusercontent.com/argoproj/argo-cd/stable/manifests/install.yaml
     

5. 검증
   • argocd repo list 및 argocd app list 로 정상 동작 여부 확인.
   • kubectl logs -n argocd deployment/argocd-server | grep -i 'credential' 로 로그에 민감 정보가 남지 않았는지 점검.
6. 모니터링
   • Prometheus/Alertmanager 설정에 argocd_credential_exposure 경고를 추가해, 향후 발생 가능성을 감시합니다.

3️⃣ 참고 리소스

• 보안 고지: https://github.com/argoproj/argo-cd/security/advisories/GHSA-786q-9hcg-v9ff
• CVE 상세: https://nvd.nist.gov/vuln/detail/CVE-2025-55190
• 문의: 한국인터넷진흥원 사이버민원센터 – 118 (국번없이)

주의: 업그레이드 중 발생하는 충돌은 argocd app sync 로 수동 조정이 필요할 수 있습니다.

위 절차를 통해 취약점으로 인한 위험을 최소화하고, Argo CD의 안전한 운영을 유지하시기 바랍니다.

 

출처: https://knvd.krcert.or.kr/detailSecNo.do?IDX=6582