Ungepatchter Travis CI API-Fehler legt Tausende von geheimen Benutzerzugriffstoken offen

  • Ein ungepatchtes Sicherheitsproblem in der Travis CI API hat dazu geführt, dass die Benutzertoken von Zehntausenden von Entwicklern potenziellen Angriffen ausgesetzt waren. Dies ermöglichte es Bedrohungsakteuren, in Cloud-Infrastrukturen einzudringen, nicht autorisierte Codeänderungen vorzunehmen und Angriffe auf die Lieferkette zu starten.

    „Mehr als 770 Millionen Logs von Free-Tier-Benutzern sind verfügbar, aus denen man leicht Token, Geheimnisse und andere Anmeldeinformationen extrahieren kann, die mit beliebten Cloud-Service-Anbietern wie GitHub, AWS und Docker Hub verbunden sind“, so Forscher der Cloud-Sicherheitsfirma Aqua in einem Bericht vom Montag.

    Travis CI ist ein kontinuierlicher Integrationsdienst, der zum Erstellen und Testen von Softwareprojekten verwendet wird, die auf Cloud-Repository-Plattformen wie GitHub und Bitbucket gehostet werden.

    [Blocked Image: https://thehackernews.com/new-images/img/b/R29vZ2xl/AVvXsEjs4_qytN4g_voTT8EnYjXf1exVDRaJAFCbNDgniqiJGlOEIxqyqhdyepXuEycqrdL2O8Kr9N1ECYeAOpkm3SjCEZ3v4qkn2U35_5ruG01Jl6vd63zdMh5L62awds2UV50QyzEtSbzrTrWmYwmbBHxi4Tgjz-VueHJyMj-Wq40R--saAZfQBzuZQpWkIw/s1600/Bitbucket-ads.png]

    Das Problem, über das bereits in den Jahren 2015 und 2019 berichtet wurde, liegt darin begründet, dass die API den Zugriff auf historische Protokolle im Klartextformat erlaubt, was es einer böswilligen Partei ermöglicht, sogar „Protokolle abzurufen, die zuvor nicht über die API verfügbar waren.“

    Die Protokolle gehen bis Januar 2013 und bis Mai 2022 zurück und reichen von den Protokollnummern 4.280.000 bis 774.807.924, die zum Abrufen eines eindeutigen Klartextprotokolls über die API verwendet werden.

    Darüber hinaus ergab eine weitere Analyse von 20.000 Protokollen bis zu 73.000 Token, Zugangsschlüssel und andere Anmeldeinformationen, die mit verschiedenen Cloud-Diensten wie GitHub, AWS und Docker Hub verbunden sind.

    [Blocked Image: https://thehackernews.com/new-images/img/b/R29vZ2xl/AVvXsEi37reb94v2Il1yHjQ1j-YZ5F_6pWwfCcNid-z9a85mNEpfAIQ659ZzrAGFaXcueHWz_7MdOecK5aTE7ln20fDPcvZ0Df-s51A5QuliQAtHHSTRLDbMx-RhFKWOL-qZuU_-YFevrztGJb6DN5GmzmzP_xlsW8CEf-iiicaVOWPfp0J_Bfw0pgrUBktw/s728-e1000/tokens.jpg]

    Dies geschieht trotz der Versuche von Travis CI, die API zu begrenzen und automatisch sichere Umgebungsvariablen und Token aus den Build-Protokollen herauszufiltern, indem die Zeichenfolge „“ angezeigt wird.[secure]“ an ihrer Stelle anzeigt.

    Eine der wichtigsten Erkenntnisse ist, dass „github_token“ zwar verschleiert wurde, aber 20 andere Varianten dieses Tokens, die einer anderen Namenskonvention folgten – darunter github_secret, gh_token, github_api_key und github_secret – von Travis CI nicht maskiert wurden.

    [Blocked Image: https://thehackernews.com/new-images/img/b/R29vZ2xl/AVvXsEj6zHdXd3qpCksF0nkMkrjsOzaw-cxZGPHWoTEp9y7VPIeyPBFGsmIyIX8NTkqI1IDqnIXYnsZuIh4rc9f8TNUn7ndAZqtXc-t58X2oueTaL4Ijb4hgH-b183QvQ0ienXIipuOsqeLP5b8I2prKmp0RWvdZQgnKehVRKbqRQpin1JgfwlZeE_IB4EmesQ/s1600/crowdsec-728.jpg]

    „Travis CI verlangsamte die Geschwindigkeit von API-Aufrufen, was die Fähigkeit zur Abfrage der API behindert“, so die Forscher. „In diesem Fall war dies jedoch nicht ausreichend. Ein geschickter Bedrohungsakteur kann einen Workaround finden, um dies zu umgehen.“

    „Die Kombination aus dem einfachen Zugriff auf die Protokolle über die API, der unvollständigen Zensur, dem Zugriff auf ‚eingeschränkte‘ Protokolle und einem schwachen Verfahren zur Ratenbegrenzung und Blockierung des Zugriffs auf die API in Verbindung mit einer großen Anzahl potenziell offengelegter Protokolle führt jedoch zu einer kritischen Situation.“

    Travis CI hat als Reaktion auf die Ergebnisse gesagt, dass das Problem konstruktionsbedingt ist und dass die Benutzer bewährte Praktiken befolgen müssen, um zu vermeiden, dass Geheimnisse in Build-Protokollen durchsickern, und dass sie Token und Geheimnisse regelmäßig rotieren müssen.

    Die Ergebnisse sind besonders wichtig nach einer Angriffskampagne im April 2022, bei der gestohlene OAuth-Benutzer-Tokens, die an Heroku und Travis CI ausgegeben wurden, genutzt wurden, um den Zugriff auf die NPM-Infrastruktur zu erweitern und ausgewählte private Repositories zu klonen.

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com