Gần đây, Aqua Security công bố kết quả từ một nghiên cứu về sự hiện diện của dữ liệu nhạy cảm trong nhật ký xây dựng được công bố công khai trong hệ thống tích hợp liên tục Travis CI.
Các nhà nghiên cứu đã tìm ra cách để trích xuất 770 triệu bản ghi từ các dự án khác nhau. Trong quá trình tải thử nghiệm 8 triệu bản ghi, khoảng 73 mã thông báo, thông tin đăng nhập và khóa truy cập đã được xác định trong dữ liệu nhận được được liên kết với một số dịch vụ phổ biến, bao gồm GitHub, AWS và Docker Hub. Thông tin được tiết lộ cho phép cơ sở hạ tầng của nhiều dự án mở bị xâm phạm, ví dụ, một vụ rò rỉ tương tự gần đây đã dẫn đến một cuộc tấn công vào cơ sở hạ tầng của dự án NPM.
Travis CI là một dịch vụ tích hợp liên tục được lưu trữ được sử dụng để xây dựng và kiểm tra các dự án phần mềm được lưu trữ trên GitHub và Bitbucket. Travis CI là dịch vụ CI đầu tiên cung cấp dịch vụ miễn phí cho các dự án nguồn mở và vẫn tiếp tục như vậy.
Nguồn là phần mềm miễn phí về mặt kỹ thuật và có sẵn từng phần trên GitHub theo giấy phép cho phép. Tuy nhiên, công ty lưu ý rằng số lượng tác vụ tuyệt đối mà người dùng cần theo dõi và thực hiện có thể khiến một số người dùng khó tích hợp thành công phiên bản Enterprise với cơ sở hạ tầng của riêng họ.
Rò rỉ có liên quan đến khả năng truy cập hồ sơ người dùng của dịch vụ Travis CI miễn phí. thông qua API thông thường. Để xác định phạm vi ID nhật ký có thể có, một API khác (“https://api.travis-ci.org/logs/6976822”) đã được sử dụng, cung cấp chuyển hướng để tải xuống nhật ký theo số sê-ri. Trong quá trình điều tra, có thể xác định khoảng 770 triệu hồ sơ được tạo từ năm 2013 đến tháng 2022 năm XNUMX trong quá trình tập hợp các dự án thuộc kế hoạch thuế quan miễn phí mà không cần xác thực.
Trong cuộc điều tra mới nhất của mình, chúng tôi tại Nhóm Nautilus đã phát hiện ra rằng hàng chục nghìn mã thông báo của người dùng được hiển thị thông qua API Travis CI, cho phép bất kỳ ai truy cập hồ sơ lịch sử văn bản rõ ràng. Hơn 770 triệu đăng ký người dùng cấp miễn phí có sẵn, từ đó bạn có thể dễ dàng trích xuất mã thông báo, bí mật và thông tin đăng nhập khác được liên kết với các nhà cung cấp dịch vụ đám mây phổ biến như GitHub, AWS và Docker Hub. Những kẻ tấn công có thể sử dụng dữ liệu nhạy cảm này để khởi động các cuộc tấn công mạng lớn và di chuyển theo chiều ngang trong đám mây.
Chúng tôi đã báo cáo những phát hiện của mình cho Travis, người trả lời rằng vấn đề này là "do thiết kế", vì vậy tất cả các bí mật hiện đang có sẵn. Tất cả người dùng cấp miễn phí của Travis CI đều có thể gặp rủi ro, vì vậy chúng tôi khuyên bạn nên xoay các khóa của mình ngay lập tức.
Phân tích mẫu thử nghiệm cho thấy, trong nhiều trường hợp, sổ đăng ký phản ánh rõ ràng các tham số truy cập vào kho, API và kho lưu trữ, đủ để truy cập kho riêng, thực hiện thay đổi mã hoặc kết nối với môi trường đám mây được sử dụng trong cơ sở hạ tầng.
Ví dụ: mã thông báo để kết nối với kho lưu trữ trên GitHub, mật khẩu để lưu trữ các tổ hợp lưu trữ trên Docker Hub, khóa để truy cập môi trường Amazon Web Services (AWS), thông số kết nối cho MySQL và PostgreSQL DBMS được tìm thấy trong nhật ký.
Đáng chú ý là các nhà nghiên cứu đã ghi lại những rò rỉ tương tự thông qua API vào năm 2015 và 2019. Sau các sự cố trước đó, Travis đã thêm một số hạn chế nhất định để khiến việc tải dữ liệu lên hàng loạt khó khăn hơn và giảm quyền truy cập API, nhưng những hạn chế này đã được khắc phục. Ngoài ra, Travis đã cố gắng xóa dữ liệu nhạy cảm khỏi nhật ký, nhưng dữ liệu chỉ bị xóa một phần.
Vấn đề này nó đã được báo cáo cho Travis CI trong quá khứ và đã được xuất bản trên các phương tiện truyền thông vào năm 2015 và 2019, nhưng chưa bao giờ được sửa hoàn toàn. Vào năm 2015, Travis CI đã đăng một thông báo báo cáo sự cố có nội dung:
“Chúng tôi hiện đang gặp phải một cuộc tấn công phân tán vào API công khai của chúng tôi mà chúng tôi tin rằng nhằm mục đích tiết lộ mã thông báo xác thực GitHub. Các biện pháp đối phó vẫn được áp dụng và chúng tôi sẽ cập nhật cho phù hợp ”.
Sự rò rỉ chủ yếu ảnh hưởng đến người dùng của các dự án nguồn mở, người mà Travis cung cấp quyền truy cập miễn phí vào dịch vụ tích hợp liên tục của mình.
Trong quá trình xác minh của một số nhà cung cấp dịch vụ, người ta đã xác nhận rằng khoảng một nửa số mã thông báo và khóa được khai thác từ các cơ quan đăng ký vẫn đang hoạt động. Tất cả người dùng phiên bản miễn phí của dịch vụ Travis CI được khuyên nên thay đổi khẩn cấp các khóa truy cập, cũng như định cấu hình xóa nhật ký bản dựng và xác minh rằng dữ liệu nhạy cảm không được gửi đến sổ đăng ký.
Cuối cùng, nếu bạn quan tâm có thể biết thêm về nó, bạn có thể tham khảo chi tiết Trong liên kết sau đây.