Кампанія Aqua Security апублікавала вынікі даследавання наяўнасці канфідэнцыйных дадзеных у зборачных логах, публічна даступных у сістэме бесперапыннай інтэграцыі Travis CI. Даследнікі знайшлі спосаб вымання 770 логаў розных праектаў. Пры тэставай загрузцы 8 логаў у атрыманых дадзеных было выяўлена каля 73 тысяч токенаў, уліковых дадзеных і ключоў доступу, звязаных з рознымі папулярнымі сэрвісамі, уключаючы GitHub, AWS і Docker Hub. Выяўленая інфармацыя дазваляе скампраметаваць інфраструктуру шматлікіх адчыненых праектаў, напрыклад, падобная ўцечка нядаўна прывяла да ўзлому інфраструктуры праекту NPM.
Уцечка звязана з магчымасцю атрымання доступу да логаў карыстальнікаў бясплатнага сэрвісу Travis CI праз штатны API (напрыклад, зборачны лог можна загрузіць праз URL выгляду "https://api.travis-ci.org/v3/job/5248126/log.txt", дзе лік 5248126 - ідэнтыфікатар лога). Для вызначэння дыяпазону магчымых ідэнтыфікатараў логаў быў скарыстаны яшчэ адзін API ("https://api.travis-ci.org/logs/6976822"), які забяспечвае перанакіраванне на загрузку лога па парадкавым нумары. Метадам перабору падчас даследавання атрымалася без аўтэнтыфікацыі вызначыць каля 770 логаў, створаных з 2013 па май 2022 года падчас зборкі праектаў, якія падпадаюць пад бясплатны тарыфны план.
Аналіз тэставай выбаркі паказаў, што ў шматлікіх выпадках у логу ў адчыненым выглядзе адлюстроўваюцца параметры доступу да рэпазітароў, API і сховішчам, дастатковыя для звароту да прыватных рэпазітараў, занясенні змен у код ці падлучэнні да хмарных асяродкаў, выкарыстоўваным у інфраструктуры. Напрыклад, у логах былі знойдзеныя токены для падлучэння да рэпазітароў у GitHub, паролі для размяшчэння зборак у Docker Hub, ключы для доступу да асяродкаў Amazon Web Services (AWS), параметры падлучэння да СКБД MySQL і PostgreSQL.
Характэрна, што падобныя ўцечкі праз API фіксаваліся даследнікамі ў 2015 і 2019 гадах. Пасля мінулых інцыдэнтаў кампанія Travis дадала пэўныя абмежаванні для цяжкасці масавай загрузкі дадзеных і зрэзала доступ да API, але дадзеныя абмежаванні ўдалося абыйсці. Акрамя таго, кампаніяй Travis была зроблена спроба чысткі канфідэнцыйных дадзеных у логах, але дадзеныя былі ачышчаны толькі часткова.
Уцечка галоўным чынам закранула карыстальнікаў адкрытых праектаў, якім Travis дае бясплатны доступ да свайго сэрвісу бесперапыннай інтэграцыі. У ходзе праверкі, праведзенай некаторымі сэрвіс-правайдэрамі, было пацверджана, што каля паловы з выдзеленых з логаў токенаў і ключоў застаюцца працоўнымі. Усім карыстачам бясплатнага варыянту сэрвісу Travis CI рэкамендуецца тэрмінова памяняць ключы доступу, а таксама наладзіць выдаленне зборачных логаў і праверыць адсутнасць высновы ў лог канфідэнцыйных дадзеных.
Крыніца: opennet.ru
