לאחרונה, אקווה סקיוריטי הודיעה על פרסום התוצאות ממחקר על נוכחות נתונים רגישים ביומני בנייה הזמינים לציבור במערכת האינטגרציה הרציפה של Travis CI.
החוקרים מצאו דרך לחלץ 770 מיליון רשומות מפרויקטים שונים. במהלך טעינת בדיקה של 8 מיליון רשומות, זוהו כ-73 אסימונים, אישורים ומפתחות גישה בנתונים שהתקבלו קשור למספר שירותים פופולריים, כולל GitHub, AWS ו- Docker Hub. המידע שנחשף מאפשר פגיעה בתשתית של פרויקטים פתוחים רבים, למשל, דליפה דומה הובילה לאחרונה למתקפה על תשתית פרויקט NPM.
Travis CI הוא שירות אינטגרציה מתמשך מתארח המשמש לבניית ובדיקת פרויקטי תוכנה המתארחים ב-GitHub וב-Bitbucket. Travis CI היה שירות ה-CI הראשון שסיפק שירותים לפרויקטי קוד פתוח בחינם וממשיך לעשות זאת.
המקור הוא תוכנה חופשית מבחינה טכנית וזמין בחלקים ב- GitHub תחת רישיונות מתירים. עם זאת, החברה מציינת שמספר המשימות העצום שמשתמש צריך לנטר ולבצע יכול להקשות על משתמשים מסוימים לשלב בהצלחה את גרסת ה-Enterprise עם התשתית שלהם.
ההדלפה קשורה ליכולת לגשת לרשומות המשתמשים של שירות Travis CI החינמי. דרך ה-API הרגיל. כדי לקבוע את טווח מזהי היומן האפשריים, נעשה שימוש ב-API אחר ("https://api.travis-ci.org/logs/6976822"), המספק ניתוב להורדת היומן לפי מספר סידורי. במהלך החקירה, ניתן היה לזהות כ-770 מיליון רשומות שנוצרו מ-2013 ועד מאי 2022 במהלך הרכבת פרויקטים שנכללים בתכנית התעריף החינמי ללא אימות.
בחקירה האחרונה שלנו, גילינו ב-Team Nautilus שעשרות אלפי אסימוני משתמש נחשפים דרך ה-Travis CI API, המאפשר לכל אחד לגשת לרשומות היסטוריות בטקסט ברור. זמינות יותר מ-770 מיליון רישומי משתמשים בשכבות חינמיות, מהן תוכלו לחלץ בקלות אסימונים, סודות ואישורים אחרים הקשורים לספקי שירותי ענן פופולריים כגון GitHub, AWS ו- Docker Hub. תוקפים יכולים להשתמש בנתונים הרגישים האלה כדי להפעיל התקפות סייבר מסיביות ולנוע לרוחב בענן.
דיווחנו על הממצאים שלנו לטראוויס, שהשיב שהנושא הזה הוא "בתכנון", כך שכל הסודות זמינים כרגע. כל משתמשי Travis CI Free Tier נמצאים בסיכון פוטנציאלי, לכן אנו ממליצים לסובב את המפתחות מיד.
ניתוח של מדגם הבדיקה הראה זאת, במקרים רבים, הרישום משקף בבירור את פרמטרי הגישה למאגרים, ממשקי API ואחסון, מספיק כדי לגשת למאגרים פרטיים, לבצע שינויים בקוד או להתחבר לסביבות ענן המשמשות בתשתית.
לדוגמא, נמצאו ביומנים אסימונים לחיבור למאגרים ב-GitHub, סיסמאות לאירוח assemblies ב- Docker Hub, מפתחות לגישה לסביבות Amazon Web Services (AWS), פרמטרי חיבור ל-MySQL ו-PostgreSQL DBMS.
ראוי לציין זאת חוקרים רשמו דליפות דומות דרך ה-API בשנים 2015 ו-2019. בעקבות תקריות קודמות, טרוויס הוסיף הגבלות מסוימות כדי להקשות על העלאת נתונים בכמות גדולה ולהפחית את הגישה ל-API, אך הגבלות אלו התגברו. בנוסף, טרוויס ניסה למחוק נתונים רגישים מהיומנים, אך הנתונים נמחקו רק חלקית.
הבעיה הזו זה דווח ל-Travis CI בעבר ופורסם בתקשורת ב-2015 וב-2019, אך מעולם לא תוקן במלואו. בשנת 2015, Travis CI פרסם הודעה על דיווח על תקריות שבה נכתב:
"אנו חווים כעת התקפה מבוזרת על ה-API הציבורי שלנו, שלדעתנו מכוונת לחשוף אסימוני אימות GitHub. אמצעי הנגד נותרו בתוקף ואנו נעדכן בהתאם".
ההדלפה פגעה בעיקר במשתמשים בפרויקטי קוד פתוח, לו Travis מספקת גישה חופשית לשירות האינטגרציה הרציף שלה.
במהלך אימות על ידי כמה ספקי שירותים, אושר שכמחצית מהאסימונים והמפתחות שנכרו מהרישום עדיין פועלים. לכל המשתמשים בגרסה החינמית של שירות Travis CI מומלץ לשנות בדחיפות את מפתחות הגישה, כמו גם להגדיר את המחיקה של יומני ה-build ולוודא שהנתונים הרגישים אינם נשלחים לרישום.
לבסוף, אם אתה מעוניין לדעת יותר על כך, תוכל להתייעץ עם הפרטים בקישור הבא.