В последнее время, Aqua Security объявила о публикации результатов из исследования наличия конфиденциальных данных в журналах сборки, которые находятся в открытом доступе в системе непрерывной интеграции Travis CI.
Исследователи нашли способ извлечь 770 миллионов записей из различных проектов. В ходе тестовой нагрузки в 8 млн записей в полученных данных было идентифицировано около 73 000 токенов, учетных данных и ключей доступа. связан с несколькими популярными сервисами, включая GitHub, AWS и Docker Hub.. Обнаруженная информация позволяет скомпрометировать инфраструктуру многих открытых проектов, например, аналогичная утечка недавно привела к атаке на инфраструктуру проекта NPM.
Travis CI — это размещенная служба непрерывной интеграции, используемая для создания и тестирования программных проектов, размещенных на GitHub и Bitbucket. Travis CI был первым сервисом CI, который бесплатно предоставлял услуги проектам с открытым исходным кодом, и продолжает это делать.
Исходный код технически является бесплатным программным обеспечением и частично доступен на GitHub по разрешающим лицензиям. Однако компания отмечает, что огромное количество задач, которые пользователь должен отслеживать и выполнять, может затруднить для некоторых пользователей успешную интеграцию версии Enterprise с их собственной инфраструктурой.
Утечка связана с возможностью доступа к пользовательским записям бесплатного сервиса Travis CI. через обычный API. Для определения диапазона возможных идентификаторов журнала использовался другой API («https://api.travis-ci.org/logs/6976822»), обеспечивающий перенаправление на загрузку журнала по серийному номеру. В ходе расследования удалось выявить около 770 млн записей, созданных с 2013 по май 2022 года при сборке проектов, подпадающих под бесплатный тарифный план без аутентификации.
В нашем последнем расследовании команда Team Nautilus обнаружила, что десятки тысяч пользовательских токенов доступны через API Travis CI, который позволяет любому получить доступ к историческим записям в открытом виде. Доступно более 770 миллионов регистраций пользователей бесплатного уровня, из которых вы можете легко извлекать токены, секреты и другие учетные данные, связанные с популярными поставщиками облачных услуг, такими как GitHub, AWS и Docker Hub. Злоумышленники могут использовать эти конфиденциальные данные для запуска массовых кибератак и бокового перемещения в облаке.
Мы сообщили о наших выводах Трэвису, который ответил, что эта проблема «преднамеренная», поэтому все секреты в настоящее время доступны. Все пользователи уровня бесплатного пользования Travis CI потенциально подвержены риску, поэтому мы рекомендуем немедленно сменить ключи.
Анализ тестовой выборки показал, что, во многих случаях в реестре четко отражены параметры доступа к репозиториям, API и хранилища, достаточные для доступа к частным репозиториям, внесения изменений в код или подключения к облачным средам, используемым в инфраструктуре.
Например, в логах были найдены токены для подключения к репозиториям на GitHub, пароли для размещения сборок на Docker Hub, ключи для доступа к средам Amazon Web Services (AWS), параметры подключения к СУБД MySQL и PostgreSQL.
Примечательно, что исследователи зафиксировали аналогичные утечки через API в 2015 и 2019 годах. После предыдущих инцидентов Трэвис добавил определенные ограничения, чтобы затруднить массовую загрузку данных и уменьшить доступ к API, но эти ограничения были преодолены. Кроме того, Трэвис попытался стереть конфиденциальные данные из журналов, но данные были стерты лишь частично.
Эта проблема об этом сообщалось Travis CI в прошлом и публиковалось в СМИ в 2015 и 2019 годах, но так и не было полностью исправлено. В 2015 году Travis CI опубликовал уведомление об инциденте, в котором говорилось:
«В настоящее время мы сталкиваемся с распределенной атакой на наш общедоступный API, которая, по нашему мнению, направлена на раскрытие токенов аутентификации GitHub. Контрмеры остаются в силе, и мы будем обновлять их соответствующим образом».
Утечка в основном затронула пользователей проектов с открытым исходным кодом, которому Travis предоставляет бесплатный доступ к своей службе непрерывной интеграции.
В ходе проверки некоторыми поставщиками услуг было подтверждено, что около половины токенов и ключей, добытых из реестров, до сих пор работают. Всем пользователям бесплатной версии сервиса Travis CI рекомендуется срочно сменить ключи доступа, а также настроить удаление логов сборки и проверить, что конфиденциальные данные не отправляются в реестр.
Наконец, если вам интересно узнать об этом больше, вы можете ознакомиться с подробностями По следующей ссылке.