Πρόσφατα, Η Aqua Security ανακοίνωσε τη δημοσίευση των αποτελεσμάτων από μια μελέτη σχετικά με την παρουσία ευαίσθητων δεδομένων σε αρχεία καταγραφής έκδοσης που είναι δημόσια διαθέσιμα στο σύστημα συνεχούς ενοποίησης Travis CI.
Οι ερευνητές έχουν βρει έναν τρόπο να αποσπάσουν 770 εκατομμύρια δίσκους από διάφορα έργα. Κατά τη διάρκεια ενός δοκιμαστικού φορτίου 8 εκατομμυρίων εγγραφών, εντοπίστηκαν περίπου 73 μάρκες, διαπιστευτήρια και κλειδιά πρόσβασης στα ληφθέντα δεδομένα σχετίζεται με πολλές δημοφιλείς υπηρεσίες, συμπεριλαμβανομένων των GitHub, AWS και Docker Hub. Οι πληροφορίες που αποκαλύφθηκαν επιτρέπουν την παραβίαση της υποδομής πολλών ανοιχτών έργων, για παράδειγμα, μια παρόμοια διαρροή οδήγησε πρόσφατα σε επίθεση στην υποδομή του έργου NPM.
Το Travis CI είναι μια φιλοξενούμενη υπηρεσία συνεχούς ενοποίησης που χρησιμοποιείται για τη δημιουργία και τη δοκιμή έργων λογισμικού που φιλοξενούνται στο GitHub και το Bitbucket. Το Travis CI ήταν η πρώτη υπηρεσία CI που παρείχε δωρεάν υπηρεσίες σε έργα ανοιχτού κώδικα και συνεχίζει να το κάνει.
Η πηγή είναι τεχνικά ελεύθερο λογισμικό και διατίθεται τμηματικά στο GitHub με επιτρεπτές άδειες. Ωστόσο, η εταιρεία σημειώνει ότι ο τεράστιος αριθμός εργασιών που πρέπει να παρακολουθεί και να εκτελεί ένας χρήστης μπορεί να δυσκολέψει ορισμένους χρήστες να ενσωματώσουν με επιτυχία την έκδοση Enterprise με τη δική τους υποδομή.
Η διαρροή σχετίζεται με τη δυνατότητα πρόσβασης στα αρχεία χρηστών της δωρεάν υπηρεσίας Travis CI. μέσω του κανονικού API. Για τον προσδιορισμό του εύρους των πιθανών αναγνωριστικών καταγραφής, χρησιμοποιήθηκε ένα άλλο API (“https://api.travis-ci.org/logs/6976822”), το οποίο παρέχει ανακατεύθυνση για λήψη του αρχείου καταγραφής κατά σειριακό αριθμό. Κατά τη διάρκεια της έρευνας, κατέστη δυνατό να εντοπιστούν περίπου 770 εκατομμύρια εγγραφές που δημιουργήθηκαν από το 2013 έως τον Μάιο του 2022 κατά τη συναρμολόγηση έργων που εμπίπτουν στο δωρεάν πρόγραμμα τιμολογίων χωρίς έλεγχο ταυτότητας.
Στην πιο πρόσφατη έρευνά μας, εμείς στην ομάδα Nautilus ανακαλύψαμε ότι δεκάδες χιλιάδες διακριτικά χρηστών εκτίθενται μέσω του Travis CI API, το οποίο επιτρέπει σε οποιονδήποτε να έχει πρόσβαση σε ιστορικά αρχεία σαφούς κειμένου. Πάνω από 770 εκατομμύρια δωρεάν εγγραφές χρηστών είναι διαθέσιμες, από τις οποίες μπορείτε εύκολα να εξαγάγετε διακριτικά, μυστικά και άλλα διαπιστευτήρια που σχετίζονται με δημοφιλείς παρόχους υπηρεσιών cloud, όπως το GitHub, το AWS και το Docker Hub. Οι εισβολείς μπορούν να χρησιμοποιήσουν αυτά τα ευαίσθητα δεδομένα για να εξαπολύσουν μαζικές επιθέσεις στον κυβερνοχώρο και να μετακινηθούν πλευρικά στο cloud.
Αναφέραμε τα ευρήματά μας στον Τράβις, ο οποίος απάντησε ότι αυτό το θέμα είναι "εκ σχεδίασης", επομένως όλα τα μυστικά είναι προς το παρόν διαθέσιμα. Όλοι οι χρήστες δωρεάν βαθμίδας Travis CI κινδυνεύουν δυνητικά, γι' αυτό συνιστούμε να περιστρέψετε αμέσως τα κλειδιά σας.
Μια ανάλυση του δείγματος δοκιμής έδειξε ότι, σε πολλές περιπτώσεις, το μητρώο αντικατοπτρίζει ξεκάθαρα τις παραμέτρους πρόσβασης στα αποθετήρια, API και αποθηκευτικοί χώροι, αρκετά για πρόσβαση σε ιδιωτικά αποθετήρια, για αλλαγές κώδικα ή σύνδεση σε περιβάλλοντα cloud που χρησιμοποιούνται στην υποδομή.
Για παράδειγμα, διακριτικά για σύνδεση σε αποθετήρια στο GitHub, κωδικοί πρόσβασης για τη φιλοξενία συγκροτημάτων στο Docker Hub, κλειδιά για πρόσβαση σε περιβάλλοντα Υπηρεσιών Ιστού του Amazon (AWS), παράμετροι σύνδεσης για MySQL και PostgreSQL DBMS βρέθηκαν στα αρχεία καταγραφής.
Αξίζει να σημειωθεί ότι Οι ερευνητές κατέγραψαν παρόμοιες διαρροές μέσω του API το 2015 και το 2019. Μετά από προηγούμενα περιστατικά, ο Travis πρόσθεσε ορισμένους περιορισμούς για να καταστήσει πιο δύσκολη τη μαζική μεταφόρτωση δεδομένων και να μειώσει την πρόσβαση στο API, αλλά αυτοί οι περιορισμοί ξεπεράστηκαν. Επιπλέον, ο Travis προσπάθησε να σκουπίσει ευαίσθητα δεδομένα από τα αρχεία καταγραφής, αλλά τα δεδομένα διαγράφηκαν μόνο εν μέρει.
Αυτό το πρόβλημα αναφέρθηκε στο Travis CI στο παρελθόν και δημοσιεύτηκε στα μέσα ενημέρωσης το 2015 και το 2019, αλλά ποτέ δεν διορθώθηκε πλήρως. Το 2015, ο Travis CI δημοσίευσε μια ειδοποίηση αναφοράς περιστατικού που έγραφε:
«Αυτήν τη στιγμή βιώνουμε μια κατανεμημένη επίθεση στο δημόσιο API μας που πιστεύουμε ότι στοχεύει στην αποκάλυψη διακριτικών ελέγχου ταυτότητας GitHub. Τα αντίμετρα παραμένουν σε ισχύ και θα ενημερώσουμε ανάλογα».
Η διαρροή επηρέασε κυρίως τους χρήστες έργων ανοιχτού κώδικα, στον οποίο ο Travis παρέχει δωρεάν πρόσβαση στην υπηρεσία συνεχούς ενσωμάτωσής του.
Κατά τη διάρκεια της επαλήθευσης από ορισμένους παρόχους υπηρεσιών, επιβεβαιώθηκε ότι περίπου τα μισά από τα διακριτικά και τα κλειδιά που εξορύσσονται από τα μητρώα εξακολουθούν να λειτουργούν. Συνιστάται σε όλους τους χρήστες της δωρεάν έκδοσης της υπηρεσίας Travis CI να αλλάξουν επειγόντως τα κλειδιά πρόσβασης, καθώς και να ρυθμίσουν τις παραμέτρους της διαγραφής των αρχείων καταγραφής έκδοσης και να επαληθεύσουν ότι τα ευαίσθητα δεδομένα δεν αποστέλλονται στο μητρώο.
Τέλος, εάν ενδιαφέρεστε να μάθετε περισσότερα σχετικά, μπορείτε να συμβουλευτείτε τις λεπτομέρειες Στον ακόλουθο σύνδεσμο.