Autentiseringsuppgifter för tusentals projekt med öppen källkod gratis att ta — igen!

Autentiseringsuppgifter för tusentals projekt med öppen källkod gratis att ta — igen!

Getty bilder

En tjänst som hjälper utvecklare med öppen källkod att skriva och testa programvara läcker tusentals autentiseringstokens och andra säkerhetskänsliga hemligheter. Många av dessa läckor tillåter hackare att komma åt utvecklarnas privata konton på Github, Docker, AWS och andra kodlager, säger säkerhetsexperter i en ny rapport.

Tillgängligheten för tredje parts utvecklaruppgifter från Travis CI har varit ett pågående problem sedan åtminstone 2015. Då rapporterade säkerhetssårbarhetstjänsten HackerOne att ett Github-konto som den använde hade äventyrats när tjänsten avslöjat en åtkomsttoken för en av HackerOne-utvecklarna. En liknande läcka dök upp igen under 2019 och igen förra året.

Tokens ger alla som har tillgång till dem möjligheten att läsa eller modifiera koden som är lagrad i arkiv som distribuerar ett otalligt antal pågående programvaruapplikationer och kodbibliotek. Möjligheten att få obehörig åtkomst till sådana projekt öppnar möjligheten för attacker i leveranskedjan, där hotaktörer manipulerar med skadlig programvara innan den distribueras till användarna. Angriparna kan utnyttja sin förmåga att manipulera appen för att rikta in sig på ett stort antal projekt som förlitar sig på appen i produktionsservrar.

Trots att detta är ett känt säkerhetsproblem har läckorna fortsatt, forskare i Nautilus-teamet vid Aqua Security-företaget är rapportering. En serie av två partier av data som forskarna fick tillgång till med hjälp av Travis CI programmeringsgränssnitt gav 4,28 miljoner och 770 miljoner loggar från 2013 till maj 2022. Efter att ha provat en liten procentandel av data fann forskarna vad de tror är 73 000 tokens, hemligheter och olika referenser.

“Dessa åtkomstnycklar och referenser är kopplade till populära molntjänstleverantörer, inklusive GitHub, AWS och Docker Hub,” sa Aqua Security. “Angripare kan använda denna känsliga data för att initiera massiva cyberattacker och för att röra sig i sidled i molnet. Alla som någonsin har använt Travis CI är potentiellt utsatta, så vi rekommenderar att du roterar dina nycklar omedelbart.”

Travis CI är en leverantör av en allt vanligare praxis som kallas kontinuerlig integration. Ofta förkortat som CI, det automatiserar processen att bygga och testa varje kodändring som har begåtts. För varje förändring byggs, testas koden regelbundet och slås samman till ett delat arkiv. Med tanke på den åtkomstnivå som CI behöver för att fungera korrekt, lagrar miljöerna vanligtvis åtkomsttokens och andra hemligheter som ger privilegierad åtkomst till känsliga delar inuti molnkontot.

Åtkomsttokensen som hittats av Aqua Security involverade privata konton för ett brett utbud av arkiv, inklusive Github, AWS och Docker.

Aqua Security

Exempel på åtkomsttokens som har exponerats inkluderar:

  • Åtkomsttokens till GitHub som kan ge privilegierad åtkomst till kodlager
  • AWS-åtkomstnycklar
  • Uppsättningar av referenser, vanligtvis en e-post eller ett användarnamn och lösenord, som ger åtkomst till databaser som MySQL och PostgreSQL
  • Docker Hub-lösenord, som kan leda till kontoövertagande om MFA (multifaktorautentisering) inte aktiveras

Följande graf visar uppdelningen:

Aqua Security

Aqua Security-forskare lade till:

Vi hittade tusentals GitHub OAuth-tokens. Det är säkert att anta att minst 10-20% av dem är live. Särskilt de som hittades i de senaste loggar. Vi simulerade i vårt molnlabb ett lateralt rörelsescenario, som är baserat på detta initiala åtkomstscenario:

1. Extrahering av en GitHub OAuth-token via exponerade Travis CI-loggar.

2. Upptäckt av känslig data (dvs. AWS-åtkomstnycklar) i privata kodlager med hjälp av den exponerade token.

3. Sidorörelseförsök med AWS-åtkomstnycklarna i AWS S3 hinktjänst.

4. Upptäckt av molnlagringsobjekt via bucket-uppräkning.

5. Dataexfiltrering från målets S3 till angriparens S3.

Aqua Security

Travis CI-representanter svarade inte omedelbart på ett e-postmeddelande som sökte kommentarer för detta inlägg. Med tanke på den återkommande karaktären av denna exponering bör utvecklare proaktivt rotera åtkomsttokens och andra referenser med jämna mellanrum. De bör också regelbundet skanna sina kodartefakter för att säkerställa att de inte innehåller referenser. Aqua Security har ytterligare råd i sitt inlägg.

#Autentiseringsuppgifter #för #tusentals #projekt #med #öppen #källkod #gratis #att #igen

Leave a Comment

Your email address will not be published.