تمكنوا من استخراج حوالي 73 ألف رمز وكلمة مرور من المشاريع المفتوحة في السجلات العامة لـ Travis CI

في الآونة الأخيرة، أعلنت شركة Aqua Security عن نشر النتائج من دراسة عن وجود بيانات حساسة في سجلات البناء المتاحة للجمهور في نظام التكامل المستمر Travis CI.

الباحثون وجدت طريقة لاستخراج 770 مليون سجل من مشاريع مختلفة. أثناء تحميل اختبار بلغ 8 ملايين سجل ، تم تحديد حوالي 73 من الرموز المميزة وبيانات الاعتماد ومفاتيح الوصول في البيانات المستلمة مرتبط بالعديد من الخدمات الشائعة ، بما في ذلك GitHub و AWS و Docker Hub. تسمح المعلومات التي تم الكشف عنها باختراق البنية التحتية للعديد من المشاريع المفتوحة ، على سبيل المثال ، أدى تسرب مماثل مؤخرًا إلى هجوم على البنية التحتية لمشروع NPM.

Travis CI هي خدمة تكامل مستمرة مستضافة تُستخدم لبناء واختبار مشاريع البرامج المستضافة على GitHub و Bitbucket. كانت Travis CI أول خدمة CI تقدم خدمات لمشاريع مفتوحة المصدر مجانًا وتستمر في القيام بذلك.

المصدر هو برنامج مجاني تقنيًا ومتوفر في أجزاء على GitHub بموجب تراخيص مسموح بها. ومع ذلك ، تشير الشركة إلى أن العدد الهائل من المهام التي يحتاجها المستخدم لمراقبتها وتنفيذها يمكن أن يجعل من الصعب على بعض المستخدمين دمج إصدار Enterprise بنجاح مع البنية التحتية الخاصة بهم.

يرتبط التسرب بالقدرة على الوصول إلى سجلات المستخدم لخدمة Travis CI المجانية. من خلال API العادي. لتحديد نطاق معرفات السجل المحتملة ، تم استخدام واجهة برمجة تطبيقات أخرى ("https://api.travis-ci.org/logs/6976822") ، والتي توفر إعادة التوجيه لتنزيل السجل بالرقم التسلسلي. خلال التحقيق ، كان من الممكن تحديد حوالي 770 مليون سجل تم إنشاؤها من 2013 إلى مايو 2022 أثناء تجميع المشاريع التي تندرج تحت خطة التعرفة المجانية دون مصادقة.

في تحقيقنا الأخير ، اكتشفنا في Team Nautilus أنه يتم الكشف عن عشرات الآلاف من الرموز المميزة للمستخدم من خلال واجهة برمجة تطبيقات Travis CI ، والتي تتيح لأي شخص الوصول إلى السجلات التاريخية ذات النص الواضح. يتوفر أكثر من 770 مليون تسجيل مجاني لمستخدمي الطبقة ، حيث يمكنك بسهولة استخراج الرموز والأسرار وبيانات الاعتماد الأخرى المرتبطة بموفري الخدمات السحابية المشهورين مثل GitHub و AWS و Docker Hub. يمكن للمهاجمين استخدام هذه البيانات الحساسة لشن هجمات إلكترونية ضخمة والتحرك بشكل جانبي في السحابة.

أبلغنا ترافيس بالنتائج التي توصلنا إليها ، والذي رد بأن هذه المشكلة "حسب التصميم" لذا فإن جميع الأسرار متوفرة حاليًا. من المحتمل أن يتعرض جميع مستخدمي الطبقة المجانية من Travis CI للخطر ، لذلك نوصي بتدوير مفاتيحك على الفور.

أظهر تحليل عينة الاختبار ذلك، في كثير من الحالات ، يعكس السجل بوضوح معلمات الوصول إلى المستودعاتوواجهات برمجة التطبيقات والمخازن بما يكفي للوصول إلى المستودعات الخاصة أو إجراء تغييرات في التعليمات البرمجية أو الاتصال بالبيئات السحابية المستخدمة في البنية التحتية.

على سبيل المثال ، تم العثور على الرموز المميزة للاتصال بالمستودعات على GitHub ، وكلمات المرور لاستضافة التجميعات على Docker Hub ، ومفاتيح الوصول إلى بيئات Amazon Web Services (AWS) ، ومعلمات الاتصال لـ MySQL و PostgreSQL DBMS في السجلات.

من الجدير بالذكر أن سجل الباحثون تسريبات مماثلة من خلال API في عامي 2015 و 2019. بعد الحوادث السابقة ، أضاف ترافيس قيودًا معينة لزيادة صعوبة تحميل البيانات بشكل مجمّع وتقليل الوصول إلى واجهة برمجة التطبيقات ، ولكن تم التغلب على هذه القيود. بالإضافة إلى ذلك ، حاول Travis مسح البيانات الحساسة من السجلات ، ولكن تم مسح البيانات جزئيًا فقط.

هذه المشكلة تم إبلاغ ترافيس سي آي في الماضي وتم نشره في وسائل الإعلام في 2015 و 2019 ، ولكن لم يتم إصلاحه بالكامل. في عام 2015 ، نشرت شركة Travis CI إشعارًا بتقرير الحادث نصه: 

"نحن نواجه حاليًا هجومًا موزعًا على واجهة برمجة التطبيقات العامة الخاصة بنا والتي نعتقد أنها تهدف إلى الكشف عن رموز مصادقة GitHub. لا تزال الإجراءات المضادة سارية وسنقوم بتحديثها وفقًا لذلك ". 

أثر التسرب بشكل رئيسي على مستخدمي المشاريع مفتوحة المصدر، الذي يوفر له Travis الوصول المجاني إلى خدمة الاندماج المستمر الخاصة به.

في سياق التحقق من قبل بعض مزودي الخدمة ، تم التأكيد على أن حوالي نصف الرموز والمفاتيح الملغومة من السجلات لا تزال تعمل. يُنصح جميع مستخدمي الإصدار المجاني من خدمة Travis CI بتغيير مفاتيح الوصول بشكل عاجل ، وكذلك تكوين حذف سجلات الإنشاء والتحقق من عدم إرسال البيانات الحساسة إلى السجل.

أخيرًا ، إذا كنت مهتمًا بمعرفة المزيد عنها ، يمكنك الرجوع إلى التفاصيل في الرابط التالي.


كن أول من يعلق

اترك تعليقك

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها ب *

*

*

  1. المسؤول عن البيانات: ميغيل أنخيل جاتون
  2. الغرض من البيانات: التحكم في الرسائل الاقتحامية ، وإدارة التعليقات.
  3. الشرعية: موافقتك
  4. توصيل البيانات: لن يتم إرسال البيانات إلى أطراف ثالثة إلا بموجب التزام قانوني.
  5. تخزين البيانات: قاعدة البيانات التي تستضيفها شركة Occentus Networks (الاتحاد الأوروبي)
  6. الحقوق: يمكنك في أي وقت تقييد معلوماتك واستعادتها وحذفها.