Più di 770 milioni di log API Travis CI sono potenzialmente compromessi. La versione gratuita del popolare strumento CI/DE presenta una nuova vulnerabilità e consente l'accesso a token, dati utente e password.
Il Team Nautilus, l'unità di ricerca di Aqua Security specializzata nello stack tecnologico cloud-native, ha scoperto una nuova vulnerabilità nella versione gratuita dell'API Travis CI, un popolare strumento CI/CD. La vulnerabilità accede facilmente a decine di migliaia di credenziali utente, token e altre credenziali da potenzialmente fino a 770 milioni di registri utente della versione gratuita.
770 milioni di registri visibili
Le chiavi di accesso e le credenziali di Travis CI sono collegate a provider di servizi cloud popolari come GitHub, AWS, Docker Hub e molti altri. Gli aggressori possono accedere ai log storici in chiaro attraverso la vulnerabilità e utilizzare questi dati sensibili per lanciare massicci attacchi informatici e spostarsi lateralmente nel cloud. Alcuni di questi fornitori di servizi cloud hanno confermato che fino al 50% dei token Travis CI associati, delle credenziali utente e delle password condivise con loro erano ancora validi e consentivano l'accesso agli account dei loro clienti.
Conosciuto dal 2015 - ancora problemi
Secondo Travis CI, questo problema è stato segnalato in precedenza nel 2015 e più recentemente nel 2019 e successivamente risolto. Ma come dimostrano chiaramente le ultime indagini del Team Nautilus, è ancora un problema serio. Nautilus ha scoperto che l'intervallo valido di log va da 4.280.000 a 774.807.924, il che significa che potenzialmente ci sono più di 770 milioni di log compromessi. I registri più vecchi risalgono a gennaio 2013 e i più recenti a maggio 2022.
🔎 Percentuale di log compromessi per provider di servizi cloud (Immagine: Aqua Security).
Raccomandazione: modificare immediatamente la chiave API Travis CI
Questa minaccia potrebbe portare a un aumento degli attacchi alla catena di fornitura del software, un problema già critico. Sebbene anche il Team Nautilus abbia trovato un potenziale accesso a registri riservati, Travis non ha altri piani in questo momento. Pertanto, Nautilus consiglia di modificare immediatamente tutte le chiavi API Travis CI. Aqua Security ha comunicato i risultati sulla vulnerabilità ai rispettivi fornitori di servizi. Quasi tutti erano allarmati e hanno reagito rapidamente. Alcuni hanno richiesto ampi scambi di chiavi. Aqua Security ha pubblicato un dettagliato articolo sul blog che descrive la vulnerabilità.
Altro su Aquasec.com
A proposito di Aqua Security Aqua Security è il più grande fornitore di sicurezza cloud native puro. Aqua offre ai suoi clienti la libertà di innovare e accelerare la loro trasformazione digitale. Aqua Platform fornisce prevenzione, rilevamento e automazione della risposta lungo tutto il ciclo di vita dell'applicazione per proteggere la supply chain, l'infrastruttura cloud e i carichi di lavoro continui, indipendentemente da dove vengono implementati.