Mais de 770 milhões de logs da Travis CI API estão potencialmente comprometidos. A versão gratuita da popular ferramenta CI/DE tem uma nova vulnerabilidade e permite acesso a tokens, dados de usuários e senhas.
A equipe Nautilus, unidade de pesquisa da Aqua Security especializada na pilha de tecnologia nativa da nuvem, descobriu uma nova vulnerabilidade na versão gratuita da Travis CI API, uma ferramenta popular de CI/CD. A vulnerabilidade acessa facilmente dezenas de milhares de credenciais de usuário, tokens e outras credenciais de potencialmente até 770 milhões de logs de usuário de versão gratuita.
770 milhões de logs visíveis
As chaves de acesso e credenciais do Travis CI estão vinculadas a provedores de serviços em nuvem populares, como GitHub, AWS, Docker Hub e muitos outros. Os invasores podem acessar logs históricos de texto sem formatação por meio da vulnerabilidade e usar esses dados confidenciais para lançar ataques cibernéticos maciços e mover-se lateralmente na nuvem. Alguns desses provedores de serviços em nuvem confirmaram que até 50% dos tokens Travis CI associados, credenciais de usuário e senhas compartilhadas com eles ainda eram válidos e permitiam o acesso às contas de seus clientes.
Conhecido desde 2015 - ainda problemas
De acordo com Travis CI, esse problema foi relatado anteriormente em 2015 e mais recentemente em 2019 e posteriormente resolvido. Mas, como mostram claramente as últimas investigações do Team Nautilus, ainda é um problema sério. O Nautilus descobriu que o intervalo válido de logs é de 4.280.000 a 774.807.924, o que significa que há potencialmente mais de 770 milhões de logs comprometidos. Os registros mais antigos são de janeiro de 2013 e os mais recentes de maio de 2022.
🔎 Porcentagem de logs comprometidos por provedor de serviços em nuvem (Imagem: Aqua Security).
Recomendação: altere a chave da API Travis CI imediatamente
Essa ameaça pode levar a um aumento de ataques à cadeia de suprimentos de software, um problema já crítico. Embora o Team Nautilus também tenha encontrado acesso potencial a logs restritos, Travis não tem mais planos no momento. Portanto, a Nautilus recomenda alterar todas as chaves da API Travis CI imediatamente. A Aqua Security comunicou as descobertas sobre a vulnerabilidade aos respectivos provedores de serviços. Quase todos ficaram alarmados e reagiram rapidamente. Alguns levaram a extensas trocas de chaves. A Aqua Security publicou um artigo de blog detalhado descrevendo a vulnerabilidade.
Mais em Aquasec.com
Sobre a Aqua Security Aqua Security é o maior provedor de segurança nativa de nuvem pura. A Aqua oferece a seus clientes a liberdade de inovar e acelerar sua transformação digital. A Aqua Platform fornece automação de prevenção, detecção e resposta em todo o ciclo de vida do aplicativo para proteger a cadeia de suprimentos, a infraestrutura de nuvem e as cargas de trabalho contínuas, independentemente de onde são implantados.