Те успяха да извлекат около 73 хиляди токени и пароли от отворени проекти в публичните записи на Travis CI

Наскоро, Aqua Security обяви публикуването на резултатите от проучване за наличието на чувствителни данни в регистрационни файлове за изграждане, които са публично достъпни в системата за непрекъсната интеграция на Travis CI.

Изследователите са намерили начин да извлекат 770 милиона записа от различни проекти. По време на тестово натоварване от 8 милиона записа, около 73 000 токена, идентификационни данни и ключове за достъп бяха идентифицирани в получените данни свързани с няколко популярни услуги, включително GitHub, AWS и Docker Hub. Разкритата информация позволява да бъде компрометирана инфраструктурата на много отворени проекти, например подобен теч наскоро доведе до атака срещу инфраструктурата на проекта NPM.

Travis CI е хоствана услуга за непрекъсната интеграция, използвана за изграждане и тестване на софтуерни проекти, хоствани на GitHub и Bitbucket. Travis CI беше първата CI услуга, която предоставя услуги на проекти с отворен код безплатно и продължава да го прави.

Източникът е технически безплатен софтуер и е достъпен на части в GitHub под разрешителни лицензи. Въпреки това, компанията отбелязва, че огромният брой задачи, които потребителят трябва да наблюдава и изпълнява, може да затрудни някои потребители да интегрират успешно Enterprise версията със собствената си инфраструктура.

Изтичането е свързано с възможността за достъп до потребителски записи на безплатната услуга Travis CI. чрез нормалния API. За определяне на диапазона от възможни идентификатори на регистрационните файлове е използван друг API (“https://api.travis-ci.org/logs/6976822”), който осигурява пренасочване за изтегляне на регистрационния файл по сериен номер. По време на разследването беше възможно да се идентифицират около 770 милиона записа, създадени от 2013 г. до май 2022 г. по време на сглобяването на проекти, които попадат в безплатния тарифен план без удостоверяване.

В нашето последно разследване ние от Team Nautilus открихме, че десетки хиляди потребителски токени са изложени чрез Travis CI API, което позволява на всеки да има достъп до исторически записи в чист текст. Налични са над 770 милиона безплатни потребителски регистрации на ниво, от които можете лесно да извличате токени, тайни и други идентификационни данни, свързани с популярни доставчици на облачни услуги като GitHub, AWS и Docker Hub. Нападателите могат да използват тези чувствителни данни, за да стартират масивни кибератаки и да се движат странично в облака.

Съобщихме за нашите открития на Травис, който отговори, че този проблем е „по замисъл“, така че всички тайни в момента са налични. Всички потребители на безплатно ниво на Travis CI са потенциално изложени на риск, така че препоръчваме незабавно да завъртите ключовете си.

Анализът на тестовата проба показа това, в много случаи регистърът ясно отразява параметрите за достъп до хранилищата, API и хранилища, достатъчни за достъп до частни хранилища, извършване на промени в кода или свързване с облачни среди, използвани в инфраструктурата.

Например в регистрационните файлове бяха открити токени за свързване към хранилища на GitHub, пароли за хостване на сборки в Docker Hub, ключове за достъп до среди на Amazon Web Services (AWS), параметри на връзката за MySQL и PostgreSQL DBMS.

Забележително е, че изследователите регистрираха подобни течове през API през 2015 и 2019 г. След предишни инциденти, Травис добави определени ограничения, за да затрудни груповото качване на данни и да намали достъпа до API, но тези ограничения бяха преодоляни. Освен това Травис се опита да изтрие чувствителни данни от регистрационните файлове, но данните бяха само частично изтрити.

Този проблем беше докладван на Travis CI в миналото и беше публикуван в медиите през 2015 и 2019 г., но никога не беше напълно коригиран. През 2015 г. Travis CI публикува уведомление за доклад за инцидент, който гласеше: 

„В момента изпитваме разпределена атака върху нашия публичен API, която смятаме, че е насочена към разкриване на токени за удостоверяване на GitHub. Контрамерките остават в сила и ние ще актуализираме съответно." 

Изтичането засегна предимно потребителите на проекти с отворен код, на когото Травис предоставя безплатен достъп до своята услуга за непрекъсната интеграция.

В хода на проверка от някои доставчици на услуги беше потвърдено, че около половината от извлечените от регистрите токени и ключове все още работят. Всички потребители на безплатната версия на услугата Travis CI се съветват спешно да променят ключовете за достъп, както и да конфигурират изтриването на регистрационните файлове за изграждане и да проверят дали чувствителни данни не се изпращат в регистъра.

И накрая, ако имате интерес да научите повече за него, можете да се консултирате с подробностите В следващия линк.


Бъдете първите, които коментират

Оставете вашия коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *

*

*

  1. Отговорен за данните: Мигел Анхел Гатон
  2. Предназначение на данните: Контрол на СПАМ, управление на коментари.
  3. Легитимация: Вашето съгласие
  4. Съобщаване на данните: Данните няма да бъдат съобщени на трети страни, освен по законово задължение.
  5. Съхранение на данни: База данни, хоствана от Occentus Networks (ЕС)
  6. Права: По всяко време можете да ограничите, възстановите и изтриете информацията си.