De lyckades extrahera cirka 73 tusen tokens och lösenord från öppna projekt i Travis CIs offentliga register

nyligen Aqua Security meddelade publiceringen av resultaten av en studie om förekomsten av känslig data i byggloggar som är allmänt tillgängliga i Travis CI:s kontinuerliga integrationssystem.

Forskarna har hittat ett sätt att extrahera 770 miljoner poster från olika projekt. Under en testladdning av 8 miljoner poster identifierades cirka 73 000 tokens, referenser och åtkomstnycklar i mottagna data Samarbetat med flera populära tjänster, inklusive GitHub, AWS och Docker Hub. Informationen som avslöjades gör att infrastrukturen för många öppna projekt kan äventyras, till exempel ledde en liknande läcka nyligen till en attack mot infrastrukturen i NPM-projektet.

Travis CI är en värd kontinuerlig integrationstjänst som används för att bygga och testa programvaruprojekt som är värd på GitHub och Bitbucket. Travis CI var den första CI-tjänsten som tillhandahåller tjänster till projekt med öppen källkod gratis och fortsätter.

Typsnittet är tekniskt sett fri programvara och är tillgängligt i delar på GitHub under tillåtande licenser. Företaget noterar dock att det stora antalet uppgifter en användare behöver övervaka och utföra kan göra det svårt för vissa användare att framgångsrikt integrera Enterprise-versionen med sin egen infrastruktur.

Läckan är relaterad till möjligheten att komma åt journalerna för användare av den kostnadsfria Travis CI-tjänsten. genom det vanliga API:et. För att fastställa intervallet av möjliga logg-ID:n användes ett annat API ("https://api.travis-ci.org/logs/6976822"), som ger omdirigering för att ladda ner loggen efter serienummer. Under utredningen var det möjligt att identifiera cirka 770 miljoner poster skapade från 2013 till maj 2022 under sammansättningen av projekt som faller under den fria tariffplanen utan autentisering.

I vår senaste undersökning upptäckte vi på Team Nautilus att tiotusentals användartokens exponeras genom Travis CI API, som gör att vem som helst kan komma åt historiska register i klartext. Över 770 miljoner gratis användarregistreringar är tillgängliga, från vilka du enkelt kan extrahera tokens, hemligheter och andra referenser associerade med populära molntjänstleverantörer som GitHub, AWS och Docker Hub. Angripare kan använda denna känsliga data för att starta massiva cyberattacker och röra sig i sidled i molnet.

Vi rapporterade våra fynd till Travis, som svarade att det här problemet är "genom design", så alla hemligheter är för närvarande tillgängliga. Alla Travis CI free tier-användare är potentiellt i riskzonen, så vi rekommenderar att du roterar dina nycklar omedelbart.

En analys av testprovet visade det, i många fall återspeglar registret tydligt åtkomstparametrarna till arkiven, API:er och lagringar, tillräckligt för att komma åt privata arkiv, göra kodändringar eller ansluta till molnmiljöer som används i infrastrukturen.

Loggarna hittade till exempel tokens för att ansluta till repositories på GitHub, lösenord till värdsammansättningar på Docker Hub, nycklar för att komma åt Amazon Web Services (AWS)-miljöer, anslutningsparametrar för MySQL och PostgreSQL DBMS.

Det är anmärkningsvärt att forskare registrerade liknande läckor via API:n 2015 och 2019. Efter tidigare incidenter lade Travis till några restriktioner för att göra det svårare att ladda upp massdata och minska API-åtkomsten, men dessa restriktioner kringgicks. Dessutom försökte Travis rensa känslig data från loggarna, men uppgifterna raderades bara delvis.

Det här problemet rapporterade till Travis CI tidigare och rapporterade i media 2015 och 2019, men aldrig helt fixade. Under 2015 publicerade Travis CI ett meddelande angående en incidentrapport som sa: 

"Vi upplever för närvarande en distribuerad attack på vårt offentliga API som vi tror syftar till att avslöja GitHub-auth-tokens. Motåtgärderna kvarstår och vi kommer att uppdatera därefter.” 

Läckan drabbade främst användare av projekt med öppen källkod, till vilken Travis ger gratis tillgång till sin kontinuerliga integrationstjänst.

Under en verifiering av vissa tjänsteleverantörer bekräftades det att ungefär hälften av de tokens och nycklar som extraherats från registren fortfarande fungerar. Alla användare av den kostnadsfria versionen av Travis CI-tjänsten rekommenderas att omedelbart ändra åtkomstnycklarna, samt konfigurera raderingen av byggloggar och kontrollera att känslig data inte skickas till registret.

Slutligen, om du är intresserad av att veta mer om det kan du läsa detaljerna I följande länk.


Lämna din kommentar

Din e-postadress kommer inte att publiceras. Obligatoriska fält är markerade med *

*

*

  1. Ansvarig för uppgifterna: Miguel Ángel Gatón
  2. Syftet med uppgifterna: Kontrollera skräppost, kommentarhantering.
  3. Legitimering: Ditt samtycke
  4. Kommunikation av uppgifterna: Uppgifterna kommer inte att kommuniceras till tredje part förutom enligt laglig skyldighet.
  5. Datalagring: databas värd för Occentus Networks (EU)
  6. Rättigheter: När som helst kan du begränsa, återställa och radera din information.