770 億 XNUMX 万を超える Travis CI API ログが侵害される可能性があります。 人気の CI/DE ツールの無料版には新しい脆弱性があり、トークン、ユーザー データ、およびパスワードへのアクセスが許可されています。
クラウドネイティブ テクノロジー スタックを専門とする Aqua Security の研究部門である Team Nautilus は、人気のある CI/CD ツールである Travis CI API の無料バージョンに新しい脆弱性を発見しました。 この脆弱性は、潜在的に最大 770 億 XNUMX 万の無料バージョンのユーザー ログから、数万を超えるユーザー資格情報、トークン、およびその他の資格情報に簡単にアクセスします。
770 億 XNUMX 万のログが表示されます
Travis CI のアクセス キーと資格情報は、GitHub、AWS、Docker Hub などの一般的なクラウド サービス プロバイダーにリンクされています。 攻撃者は脆弱性を介して過去の平文ログにアクセスし、この機密データを使用して大規模なサイバー攻撃を開始し、クラウド内を横方向に移動できます。 これらのクラウド サービス プロバイダーの一部は、関連する Travis CI トークン、ユーザー資格情報、および共有されているパスワードの最大 50% が依然として有効であり、顧客のアカウントへのアクセスを許可していることを確認しました。
2015 年から知られている - まだ問題がある
Travis CI によると、この問題は以前は 2015 年に報告され、最近では 2019 年に報告され、その後解決されました。 しかし、Team Nautilus による最新の調査が明らかに示しているように、それは依然として深刻な問題です。 Nautilus は、ログの有効な範囲が 4.280.000 から 774.807.924 であることを発見しました。これは、侵害されたログが 770 億 2013 万を超える可能性があることを意味します。 最も古いログは 2022 年 XNUMX 月のもので、最新のものは XNUMX 年 XNUMX 月のものです。
🔎 クラウド サービス プロバイダーごとの侵害されたログの割合 (画像: Aqua Security)。
推奨事項: Travis CI API キーをすぐに変更してください
この脅威は、ソフトウェア サプライ チェーンに対する攻撃の増加につながる可能性があり、これはすでに重大な問題です。 Team Nautilus も制限付きログへのアクセスの可能性を発見しましたが、Travis は現時点でそれ以上の計画はありません。 したがって、Nautilus では、すべての Travis CI API キーをすぐに変更することをお勧めします。 Aqua Security は、脆弱性に関する調査結果をそれぞれのサービス プロバイダーに伝えました。 それらのほとんどすべてが警戒し、迅速に対応しました。 いくつかは、大規模な鍵交換を促しました。 Aqua Security は、脆弱性について説明した詳細なブログ記事を公開しました。
詳しくは Aquasec.com をご覧ください
アクアセキュリティについて Aqua Security は、最大の純粋なクラウド ネイティブ セキュリティ プロバイダーです。 Aqua は、デジタル トランスフォーメーションを革新し、加速する自由を顧客に提供します。 Aqua Platform は、アプリケーション ライフサイクル全体で防止、検出、および応答の自動化を提供し、デプロイされている場所に関係なく、サプライ チェーン、クラウド インフラストラクチャ、および進行中のワークロードを保護します。