Aqua Security har publicerat resultaten av en studie av förekomsten av konfidentiell data i monteringsloggar som är allmänt tillgängliga i Travis CI kontinuerliga integrationssystem. Forskare har hittat ett sätt att utvinna 770 miljoner stockar från olika projekt. En testnedladdning av 8 miljoner loggar avslöjade cirka 73 tusen tokens, referenser och åtkomstnycklar associerade med olika populära tjänster, inklusive GitHub, AWS och Docker Hub. Den identifierade informationen gör att infrastrukturen för många open source-projekt äventyras, till exempel ledde en liknande läcka nyligen till hackningen av NPM-projektets infrastruktur.
Läckan är relaterad till möjligheten att få tillgång till användarloggar för den kostnadsfria Travis CI-tjänsten genom standard-API:et (till exempel kan monteringsloggen laddas ner via en URL som "https://api.travis-ci.org/ v3/job/5248126/log.txt”, där numret 5248126 är loggidentifieraren). För att fastställa intervallet av möjliga loggidentifierare användes ett annat API ("https://api.travis-ci.org/logs/6976822"), som ger omdirigering för att ladda ner loggen efter serienummer. Med hjälp av en brute force-metod kunde studien identifiera, utan autentisering, cirka 770 miljoner stockar som skapats från 2013 till maj 2022 under sammansättningen av projekt som faller under den fria tariffplanen.
Analys av testprovet visade att i många fall återspeglar loggningen i klar form åtkomstparametrar till arkiv, API:er och lagringar, tillräckligt för att komma åt privata arkiv, göra ändringar i koden eller ansluta till molnmiljöer som används i infrastrukturen. Till exempel hittades tokens för att ansluta till arkiv i GitHub, lösenord för att lägga upp sammanställningar i Docker Hub, nycklar för åtkomst till Amazon Web Services (AWS)-miljöer och anslutningsparametrar för MySQL och PostgreSQL DBMS i loggarna.
Det är anmärkningsvärt att liknande läckor via API registrerades av forskare 2015 och 2019. Efter tidigare incidenter lade Travis till vissa restriktioner för att göra det svårt att ladda data i bulk och minska åtkomsten till API:t, men dessa restriktioner kringgicks. Dessutom försökte Travis rensa upp känsliga uppgifter i loggarna, men uppgifterna rensades endast delvis.
Läckan drabbade främst användare av projekt med öppen källkod, till vilka Travis ger gratis tillgång till sin kontinuerliga integrationstjänst. Under tester utförda av vissa tjänsteleverantörer bekräftades det att ungefär hälften av de tokens och nycklarna som extraherats från loggarna fortfarande fungerar. Alla användare av den kostnadsfria versionen av Travis CI-tjänsten rekommenderas att omedelbart ändra sina åtkomstnycklar, samt konfigurera raderingen av monteringsloggar och kontrollera att inga konfidentiella data matas ut till loggen.
Källa: opennet.ru
