770 milyondan fazla Travis CI API günlüğünün güvenliği ihlal edilmiş olabilir. Popüler CI/DE aracının ücretsiz sürümü yeni bir güvenlik açığına sahiptir ve belirteçlere, kullanıcı verilerine ve parolalara erişim sağlar.
Aqua Security'nin bulut tabanlı teknoloji yığınında uzmanlaşmış araştırma birimi Nautilus Ekibi, popüler bir CI/CD aracı olan Travis CI API'nin ücretsiz sürümünde yeni bir güvenlik açığı keşfetti. Güvenlik açığı, potansiyel olarak 770 milyona kadar ücretsiz sürüm kullanıcı günlüğünden on binlerce kullanıcı kimlik bilgisi, belirteç ve diğer kimlik bilgilerine kolayca erişir.
770 milyon günlük görünür
Travis CI erişim anahtarları ve kimlik bilgileri, GitHub, AWS, Docker Hub ve diğerleri gibi popüler bulut hizmeti sağlayıcılarıyla bağlantılıdır. Saldırganlar, güvenlik açığı aracılığıyla geçmiş düz metin günlüklerine erişebilir ve bu hassas verileri, büyük çaplı siber saldırılar başlatmak ve bulutta yatay olarak hareket etmek için kullanabilir. Bu bulut hizmeti sağlayıcılarından bazıları, ilişkili Travis CI belirteçlerinin, kullanıcı kimlik bilgilerinin ve kendileriyle paylaşılan parolaların yüzde 50'ye kadarının hala geçerli olduğunu ve müşterilerinin hesaplarına erişime izin verdiğini doğruladı.
2015'ten beri biliniyor - hala sorunlar var
Travis CI'ye göre bu sorun daha önce 2015'te ve en son 2019'da rapor edilmiş ve daha sonra çözülmüştür. Ancak Nautilus Ekibi tarafından yapılan son araştırmaların açıkça gösterdiği gibi, bu hala ciddi bir sorun. Nautilus, geçerli günlük aralığının 4.280.000 ila 774.807.924 arasında olduğunu buldu, bu da potansiyel olarak 770 milyondan fazla güvenliği ihlal edilmiş günlük olduğu anlamına geliyor. En eski günlükler Ocak 2013'e ve en yenisi Mayıs 2022'ye aittir.
🔎 Bulut hizmeti sağlayıcısı başına güvenliği ihlal edilmiş günlüklerin yüzdesi (Resim: Aqua Security).
Öneri: Travis CI API anahtarını hemen değiştirin
Bu tehdit, zaten kritik bir sorun olan yazılım tedarik zincirine yönelik saldırılarda artışa yol açabilir. Nautilus Ekibi de kısıtlanmış günlüklere potansiyel erişim bulsa da, Travis'in şu anda başka bir planı yok. Bu nedenle Nautilus, tüm Travis CI API anahtarlarının hemen değiştirilmesini önerir. Aqua Security güvenlik açığı hakkındaki bulguları ilgili hizmet sağlayıcılara iletmiştir. Hemen hemen hepsi alarma geçti ve hızlı tepki gösterdi. Bazıları kapsamlı anahtar değişimlerine neden oldu. Aqua Security, güvenlik açığını açıklayan ayrıntılı bir blog makalesi yayınladı.
Aquasec.com'da daha fazlası
Aqua Güvenlik Hakkında Aqua Security, en büyük saf bulut yerel güvenlik sağlayıcısıdır. Aqua, müşterilerine yenilik yapma ve dijital dönüşümlerini hızlandırma özgürlüğü veriyor. Aqua Platform, tedarik zincirini, bulut altyapısını ve devam eden iş yüklerini nerede devreye alındıklarından bağımsız olarak güvence altına almak için uygulama yaşam döngüsü boyunca önleme, tespit ve yanıt otomasyonu sağlar.