Faz pouco, A Aqua Security anunciou a publicação dos resultados de um estudo sobre a presença de dados confidenciais em logs de compilação que estão disponíveis publicamente no sistema de integração contínua Travis CI.
Os investigadores encontraram uma maneira de extrair 770 milhões de registros de vários projetos. Durante uma carga de teste de 8 milhões de registros, cerca de 73 tokens, credenciais e chaves de acesso foram identificados nos dados recebidos associado a vários serviços populares, incluindo GitHub, AWS e Docker Hub. As informações reveladas permitem que a infraestrutura de muitos projetos abertos seja comprometida, por exemplo, um vazamento semelhante recentemente levou a um ataque à infraestrutura do projeto NPM.
O Travis CI é um serviço de integração contínua hospedado usado para criar e testar projetos de software hospedados no GitHub e no Bitbucket. O Travis CI foi o primeiro serviço de CI a fornecer serviços para projetos de código aberto gratuitamente e continua a fazê-lo.
A fonte é um software tecnicamente livre e está disponível em partes no GitHub sob licenças permissivas. No entanto, a empresa observa que o grande número de tarefas que um usuário precisa monitorar e executar pode dificultar a integração bem-sucedida da versão Enterprise com sua própria infraestrutura.
O vazamento está relacionado à capacidade de acessar os registros do usuário do serviço gratuito do Travis CI. através da API normal. Para determinar o intervalo de possíveis IDs de log, foi utilizada outra API (“https://api.travis-ci.org/logs/6976822”), que fornece redirecionamento para download do log por número de série. Durante a investigação, foi possível identificar cerca de 770 milhões de registros criados de 2013 a maio de 2022 durante a montagem de projetos que se enquadram no plano tarifário livre sem autenticação.
Em nossa investigação mais recente, nós da Team Nautilus descobrimos que dezenas de milhares de tokens de usuário são expostos por meio da API Travis CI, que permite que qualquer pessoa acesse registros históricos em texto simples. Mais de 770 milhões de registros de usuário de nível gratuito estão disponíveis, dos quais você pode extrair facilmente tokens, segredos e outras credenciais associadas a provedores de serviços de nuvem populares, como GitHub, AWS e Docker Hub. Os invasores podem usar esses dados confidenciais para lançar ataques cibernéticos em massa e mover-se lateralmente na nuvem.
Relatamos nossas descobertas a Travis, que respondeu que esse problema é "por design", então todos os segredos estão disponíveis no momento. Todos os usuários do nível gratuito do Travis CI estão potencialmente em risco, por isso recomendamos alternar suas chaves imediatamente.
Uma análise da amostra de teste mostrou que, em muitos casos, o registro reflete claramente os parâmetros de acesso aos repositórios, APIs e storages, suficientes para acessar repositórios privados, fazer alterações de código ou conectar-se a ambientes em nuvem utilizados na infraestrutura.
Por exemplo, tokens para conexão com repositórios no GitHub, senhas para hospedagem de assemblies no Docker Hub, chaves para acessar ambientes Amazon Web Services (AWS), parâmetros de conexão para MySQL e DBMS PostgreSQL foram encontrados nos logs.
É digno de nota que pesquisadores registraram vazamentos semelhantes por meio da API em 2015 e 2019. Após incidentes anteriores, Travis adicionou algumas restrições para dificultar o upload de dados em massa e reduzir o acesso à API, mas essas restrições foram superadas. Além disso, Travis tentou limpar dados confidenciais dos logs, mas os dados foram apagados apenas parcialmente.
é problema foi relatado ao Travis CI no passado e publicado na mídia em 2015 e 2019, mas nunca foi totalmente corrigido. Em 2015, o Travis CI postou uma notificação de relatório de incidente que dizia:
“Atualmente, estamos enfrentando um ataque distribuído em nossa API pública que acreditamos ter como objetivo revelar os tokens de autenticação do GitHub. As contramedidas permanecem em vigor e atualizaremos de acordo.”
O vazamento afetou principalmente usuários de projetos de código aberto, a quem a Travis oferece acesso gratuito ao seu serviço de integração contínua.
No curso da verificação por alguns provedores de serviços, foi confirmado que cerca de metade dos tokens e chaves extraídos dos registros ainda estão funcionando. Todos os usuários da versão gratuita do serviço Travis CI são aconselhados a alterar com urgência as chaves de acesso, bem como configurar a exclusão dos logs de compilação e verificar se os dados confidenciais não são enviados ao registro.
Por fim, se você tiver interesse em saber mais sobre o assunto, pode consultar os detalhes no link a seguir.