äskettäin Aqua Security ilmoitti tulosten julkaisemisesta tutkimuksesta arkaluonteisten tietojen esiintymisestä rakennuslokeissa, jotka ovat julkisesti saatavilla Travis CI:n jatkuvassa integraatiojärjestelmässä.
Tutkijat ovat löytäneet tavan poimia 770 miljoonaa tietuetta eri projekteista. 8 miljoonan tietueen testilatauksen aikana vastaanotetuista tiedoista tunnistettiin noin 73 000 tunnusta, valtuustietoa ja pääsyavainta liittyy useisiin suosittuihin palveluihin, mukaan lukien GitHub, AWS ja Docker Hub. Paljastuneet tiedot mahdollistavat monien avoimien projektien infrastruktuurin vaarantamisen, esimerkiksi vastaavanlainen vuoto äskettäin johti hyökkäykseen NPM-projektin infrastruktuuria vastaan.
Travis CI on isännöity jatkuva integrointipalvelu, jota käytetään GitHubissa ja Bitbucketissa isännöityjen ohjelmistoprojektien rakentamiseen ja testaamiseen. Travis CI oli ensimmäinen CI-palvelu, joka tarjosi palveluita avoimen lähdekoodin projekteihin ilmaiseksi ja tarjoaa niin edelleen.
Lähde on teknisesti ilmainen ohjelmisto, ja se on saatavilla osissa GitHubista sallituilla lisensseillä. Yritys kuitenkin huomauttaa, että käyttäjien on seurattava ja suoritettava suuri määrä tehtäviä, jotka voivat vaikeuttaa joidenkin käyttäjien onnistuneen integroida Enterprise-versiota omaan infrastruktuuriinsa.
Vuoto liittyy mahdollisuuteen päästä käsiksi ilmaisen Travis CI -palvelun käyttäjätietoihin. normaalin API:n kautta. Mahdollisten lokitunnusten alueen määrittämiseen käytettiin toista API:ta ("https://api.travis-ci.org/logs/6976822"), joka tarjoaa uudelleenohjauksen lokin lataamiseen sarjanumeron mukaan. Selvityksen aikana pystyttiin tunnistamaan noin 770 miljoonaa tietuetta, jotka on luotu vuosina 2013–2022 ilmaisen tariffisuunnitelman piiriin kuuluvien projektien kokoamisen aikana ilman todennusta.
Viimeisimmässä tutkimuksessamme Team Nautilusilla havaitsimme, että kymmeniä tuhansia käyttäjätunnuksia paljastetaan Travis CI -sovellusliittymän kautta, jonka avulla kuka tahansa voi käyttää selkeän tekstin historiallisia tietueita. Saatavilla on yli 770 miljoonaa ilmaista tason käyttäjärekisteröintiä, joista voit helposti poimia tunnuksia, salaisuuksia ja muita tunnistetietoja, jotka liittyvät suosittuihin pilvipalveluntarjoajiin, kuten GitHub, AWS ja Docker Hub. Hyökkääjät voivat käyttää näitä arkaluonteisia tietoja käynnistääkseen massiivisia kyberhyökkäyksiä ja liikkuakseen sivusuunnassa pilvessä.
Ilmoitimme havainnoistamme Travisille, joka vastasi, että tämä ongelma on "suunniteltu", joten kaikki salaisuudet ovat tällä hetkellä saatavilla. Kaikki Travis CI:n vapaan tason käyttäjät ovat mahdollisesti vaarassa, joten suosittelemme vaihtamaan avaimesi välittömästi.
Testinäytteen analyysi osoitti sen, monissa tapauksissa rekisteri heijastaa selvästi tietovarastojen pääsyparametreja, API:t ja tallennustilat, jotka riittävät yksityisten tietovarastojen käyttämiseen, koodimuutosten tekemiseen tai yhteyden muodostamiseen infrastruktuurissa käytettyihin pilviympäristöihin.
Lokeista löytyi esimerkiksi tunnuksia GitHubin arkistoihin yhdistämiseen, salasanoja Docker Hubin kokoonpanojen isännöintiin, avaimia Amazon Web Services (AWS) -ympäristöihin pääsyä varten, yhteysparametreja MySQL:lle ja PostgreSQL DBMS:lle.
On huomionarvoista, että tutkijat kirjasivat samanlaisia vuotoja API:n kautta vuosina 2015 ja 2019. Aiempien tapausten jälkeen Travis lisäsi tiettyjä rajoituksia vaikeuttaakseen tietojen joukkolähetystä ja vähentääkseen API-käyttöä, mutta nämä rajoitukset voitettiin. Lisäksi Travis yritti pyyhkiä arkaluonteisia tietoja lokeista, mutta tiedot poistettiin vain osittain.
Tämä ongelma se raportoitiin Travis CI:lle aiemmin ja julkaistiin tiedotusvälineissä vuosina 2015 ja 2019, mutta sitä ei koskaan korjattu kokonaan. Vuonna 2015 Travis CI julkaisi tapahtumaraportin, jossa luki:
"Kokemme tällä hetkellä hajautetun hyökkäyksen julkista API:amme vastaan, jonka uskomme pyrkivän paljastamaan GitHub-todennustunnuksia. Vastatoimet jatkuvat ja päivitämme tilanteen niiden mukaisesti."
Vuoto vaikutti lähinnä avoimen lähdekoodin projektien käyttäjiin, jolle Travis tarjoaa ilmaisen pääsyn jatkuvaan integrointipalveluunsa.
Eräiden palveluntarjoajien tarkastuksen aikana varmistui, että noin puolet rekistereistä louhituista tunnuksista ja avaimista toimii edelleen. Kaikkia Travis CI -palvelun ilmaisen version käyttäjiä kehotetaan muuttamaan pikaisesti pääsyavaimia sekä määrittämään rakennuslokien poistaminen ja varmistamaan, ettei arkaluonteisia tietoja lähetetä rekisteriin.
Lopuksi, jos haluat tietää enemmän siitä, voit tutustua yksityiskohtiin Seuraavassa linkissä.