安全厂商Aqua Security发现,持续集成服务平台Travis CI的免费版本缺乏保护,暴露了用户的日志信息,危及访问GitHub、AWS、Docker Hub等云计算服务的登录凭证。这是该企业近年来发生的第三起安全事故。
Aqua Security下的Team Nautilus最近的测试发现,Travis CI API可以让攻击者访问用户的免费版本日志,已经有超过7.7亿条日志被曝光,用户可以从中轻松获取用户令牌、密码或其他登录凭据,以访问GitHub、AWS、Docker Hub和PostgreSQL等其他云计算服务。这些机密信息可以让攻击者发起大规模攻击,或者在云计算中横向移动。
这至少是Travis CI近年来第三次报告安全疏漏。前两次分别在2暗网上的真实截图015年和2019年。2015年,该公司宣布其公共API受到分布式攻击,泄露了GitHub验证权限。2019年,一组研究人员演示了他们可以获得包括Travis CI在内的云计算服务公厂商指导价司的用户凭据。爱我生活但这些漏洞似乎永远不会被修复。
在Aqua Security的研究中,研究人员发现两个API调用使他们能够获得清晰的日厂商识别代码志,然后结合枚举指令获得暗网是什么大量日志。从2013年1月到今年5月,他们总共制作了7.74亿个日志。研究人员用厂商其中的1%,约800万个日志进行了测试,成功发现了73000个权限、密码或其他凭据,其中包括知名的云计算服务,如GitHub访问权限、AWS密钥、MySQL、PostgreSQL凭据、Docker Hub密码等信息。
研究人员还利用GitHub OAuth authority和从中找到的AWS S3桶密钥,模拟云计算中水平移动完成目标AWS S3桶泄漏的攻击。其他可能的攻击包括窃取源代码和侵厂商入程序代码库来完成软件供应链。
也许一些信息已经被用于其他攻击。4月,GitHub警告用户,由于Heroku和Travis-CI的OAuth用户权限泄露,平台上的一暗网是什么些npm私有库被黑客访问。
研究人员指出,Tr厂商指导价是裸车价还是落地价avis CI确实采用了混淆技术,包安慰逝者亲人的话括凭证信息,还提供了防止数据泄露的建议。但是,他们能够通过结合API、对特定受限日志的访问以及不充分的阻止防护来获取用户数据。研究人员很快通知了Travis CI,但得到的暗网上的真实截图回应是这不是一个漏洞,而是原始设计(通过设计)。
同时,研究人员将研究结果告知上述相关云计算企业,几乎所有企业都立即做出了回应。一些制造商开始爱我生活了密钥轮换,而其他制造商则确认至少有一半暴露的用户凭证是有效的。也有公司厂商理论提供漏洞挖掘奖金。
对于开发者,安全厂商暗网上的真实截图建议采取安全保护措施,包括创建密钥和权限等证书的轮换策略,密钥厂商是什么意思和权限使用最小权限,定期扫描CI/CD环境的安全设置,不在日厂商是做什么的志中存储密码或权限和密钥资料。
