Aqua Security publicou os resultados dun estudo sobre a presenza de datos confidenciais nos rexistros de montaxe dispoñibles publicamente no sistema de integración continua Travis CI. Os investigadores atoparon unha forma de extraer 770 millóns de rexistros de varios proxectos. Unha descarga de proba de 8 millóns de rexistros revelou preto de 73 mil tokens, credenciais e claves de acceso asociadas a varios servizos populares, incluídos GitHub, AWS e Docker Hub. A información identificada permite que a infraestrutura de moitos proxectos de código aberto se vexa comprometida, por exemplo, unha filtración similar levou recentemente á piratería da infraestrutura do proxecto NPM.
A filtración está relacionada coa posibilidade de acceder aos rexistros de usuarios do servizo gratuíto Travis CI a través da API estándar (por exemplo, o rexistro de montaxe pódese descargar a través dun URL como "https://api.travis-ci.org/). v3/job/5248126/log.txt”, onde o número 5248126 é o identificador do rexistro). Para determinar o rango de posibles identificadores de rexistro, utilizouse outra API ("https://api.travis-ci.org/logs/6976822"), que proporciona redirección para descargar o rexistro por número de serie. Mediante un método de forza bruta, o estudo puido identificar, sen autenticación, uns 770 millóns de rexistros creados entre 2013 e maio de 2022 durante a montaxe dos proxectos que se enmarcan no plan de tarifas libres.
A análise da mostra de proba mostrou que, en moitos casos, o rexistro en forma clara reflicte parámetros de acceso a repositorios, API e almacenamentos, suficientes para acceder a repositorios privados, facer cambios no código ou conectarse a ambientes de nube utilizados na infraestrutura. Por exemplo, atopáronse nos rexistros tokens para conectarse a repositorios en GitHub, contrasinais para publicar conxuntos en Docker Hub, claves para acceder aos ambientes de Amazon Web Services (AWS), parámetros de conexión ao DBMS MySQL e PostgreSQL.
Cabe destacar que os investigadores rexistraron filtracións similares a través da API en 2015 e 2019. Despois de incidentes pasados, Travis engadiu certas restricións para dificultar a carga de datos en masa e reducir o acceso á API, pero estas restricións foron eludidas. Ademais, Travis intentou limpar os datos sensibles dos rexistros, pero os datos só foron borrados parcialmente.
A filtración afectou principalmente aos usuarios de proxectos de código aberto, aos que Travis ofrece acceso gratuíto ao seu servizo de integración continua. Durante as probas realizadas por algúns provedores de servizos, confirmouse que preto da metade dos tokens e claves illados dos rexistros seguen funcionando. Recoméndase a todos os usuarios da versión gratuíta do servizo Travis CI que cambien urxentemente as súas claves de acceso, así como que configuren a eliminación dos rexistros de montaxe e comproben que non se están a emitir datos confidenciais no rexistro.
Fonte: opennet.ru
