770 मिलियन से अधिक ट्रैविस सीआई एपीआई लॉग संभावित रूप से समझौता किए गए हैं। लोकप्रिय सीआई/डीई उपकरण के मुफ्त संस्करण में एक नई भेद्यता है और यह टोकन, उपयोगकर्ता डेटा और पासवर्ड तक पहुंच की अनुमति देता है।
टीम नॉटिलस, क्लाउड-नेटिव टेक्नोलॉजी स्टैक में विशेषज्ञता वाली एक्वा सिक्योरिटी की शोध इकाई, ने एक लोकप्रिय सीआई/सीडी टूल ट्रैविस सीआई एपीआई के मुफ्त संस्करण में एक नई भेद्यता की खोज की है। भेद्यता संभावित रूप से 770 मिलियन मुक्त संस्करण उपयोगकर्ता लॉग से दसियों हज़ार से अधिक उपयोगकर्ता क्रेडेंशियल्स, टोकन और अन्य क्रेडेंशियल्स तक आसानी से पहुँचती है।
770 मिलियन लॉग दिखाई दे रहे हैं
ट्रैविस सीआई एक्सेस कुंजियां और क्रेडेंशियल लोकप्रिय क्लाउड सेवा प्रदाताओं जैसे गिटहब, एडब्ल्यूएस, डॉकर हब और कई अन्य से जुड़े हुए हैं। हमलावर भेद्यता के माध्यम से ऐतिहासिक प्लेनटेक्स्ट लॉग तक पहुंच सकते हैं और इस संवेदनशील डेटा का उपयोग बड़े पैमाने पर साइबर हमले शुरू करने और बाद में क्लाउड में स्थानांतरित करने के लिए कर सकते हैं। इनमें से कुछ क्लाउड सेवा प्रदाताओं ने पुष्टि की है कि संबद्ध ट्रेविस सीआई टोकन, उपयोगकर्ता क्रेडेंशियल्स और उनके साथ साझा किए गए पासवर्ड के 50 प्रतिशत तक अभी भी वैध हैं और उनके ग्राहकों के खातों तक पहुंच की अनुमति है।
2015 से जाना जाता है - अभी भी समस्याएं हैं
ट्रैविस सीआई के अनुसार, यह समस्या पहले 2015 में और हाल ही में 2019 में रिपोर्ट की गई थी और बाद में हल हो गई थी। लेकिन जैसा कि टीम नॉटिलस की नवीनतम जांच स्पष्ट रूप से दिखाती है, यह अभी भी एक गंभीर समस्या है। नॉटिलस ने पाया कि लॉग की वैध सीमा 4.280.000 से 774.807.924 तक है, जिसका अर्थ है कि संभावित रूप से 770 मिलियन से अधिक समझौता किए गए लॉग हैं। सबसे पुराने लॉग जनवरी 2013 के हैं और सबसे नए लॉग मई 2022 के हैं।
🔎 प्रति क्लाउड सेवा प्रदाता समझौता किए गए लॉग का प्रतिशत (छवि: एक्वा सुरक्षा)।
अनुशंसा: ट्रैविस सीआई एपीआई कुंजी को तुरंत बदलें
इस खतरे से सॉफ़्टवेयर आपूर्ति श्रृंखला पर हमलों में वृद्धि हो सकती है, जो पहले से ही एक गंभीर समस्या है। हालांकि टीम नॉटिलस को प्रतिबंधित लॉग तक संभावित पहुंच भी मिली, ट्रैविस के पास इस समय आगे कोई योजना नहीं है। इसलिए, Nautilus तुरंत सभी ट्रैविस CI API कुंजियों को बदलने की अनुशंसा करता है। एक्वा सिक्योरिटी ने संबंधित सेवा प्रदाताओं को भेद्यता के बारे में जानकारी दी है। उनमें से लगभग सभी चिंतित थे और उन्होंने तुरंत प्रतिक्रिया व्यक्त की। कुछ ने व्यापक कुंजी एक्सचेंजों को प्रेरित किया। एक्वा सिक्योरिटी ने भेद्यता का वर्णन करते हुए एक विस्तृत ब्लॉग लेख प्रकाशित किया।
Aquasec.com पर अधिक
एक्वा सुरक्षा के बारे में एक्वा सिक्योरिटी सबसे बड़ा प्योर क्लाउड नेटिव सुरक्षा प्रदाता है। एक्वा अपने ग्राहकों को अपने डिजिटल परिवर्तन को नया करने और तेज करने की स्वतंत्रता देता है। एक्वा प्लेटफॉर्म आपूर्ति श्रृंखला, क्लाउड इंफ्रास्ट्रक्चर और चल रहे वर्कलोड को सुरक्षित करने के लिए एप्लिकेशन लाइफसाइकिल में रोकथाम, पहचान और प्रतिक्रिया स्वचालन प्रदान करता है-चाहे वे कहीं भी तैनात हों।