Symposium sur la sécurité des technologies de l'information et des communications

Les pipelines CI/CD sont par nature des systèmes privilégiés. Ils détiennent des secrets, déploient des charges de travail et communiquent directement avec des systèmes de production. Contrairement aux interfaces d'administration classiques, ces systèmes sont accessibles par un public bien plus large (développeurs, opérateurs, processus automatisés). Cette combinaison en fait une cible de choix pour les attaquants : compromettre les pipelines revient à s'emparer des clés du royaume.

Helm est l'un des nombreux outils essentiels dans un environnement CI/CD Kubernetes. Il simplifie le partage de packages applicatifs, appelés charts, afin de déployer des applications complexes tout en permettant aux administrateurs de ne configurer que les options et paramètres nécessaires. Cependant, comme tout élément intervenant dans une chaîne de déploiement automatisée, il introduit ses propres risques de sécurité.

Lors de l'audit d'un tel système, nous avons découvert une injection YAML dans un template Helm déployé par ArgoCD. Étonnamment, il n'existe pas de ressource détaillant les possibilités d'injections dans des templates Helm. Le but de cette présentation est donc de décrire cette classe de vulnérabilité et son exploitation jusqu'à la compromission d'un cluster, ainsi que de proposer des recommandations concrètes pour s'en prémunir.