Більше 770 мільйонів журналів Travis CI API потенційно зламані. Безкоштовна версія популярного інструменту CI/DE має нову вразливість і дозволяє отримати доступ до токенів, даних користувачів і паролів.
Team Nautilus, дослідницький підрозділ Aqua Security, що спеціалізується на стеку хмарних технологій, виявив нову вразливість у безкоштовній версії Travis CI API, популярному інструменті CI/CD. Уразливість легко отримує доступ до десятків тисяч облікових даних користувачів, токенів та інших облікових даних із потенційно до 770 мільйонів журналів користувачів безкоштовної версії.
Видимі 770 мільйонів журналів
Ключі доступу та облікові дані Travis CI пов’язані з такими популярними постачальниками хмарних послуг, як GitHub, AWS, Docker Hub та багатьма іншими. Зловмисники можуть отримати доступ до історичних журналів відкритого тексту через уразливість і використовувати ці конфіденційні дані для здійснення масових кібератак і пересування в хмарі. Деякі з цих постачальників хмарних послуг підтвердили, що до 50 відсотків пов’язаних маркерів Travis CI, облікових даних користувачів і паролів, наданих їм, все ще дійсні та дозволяють доступ до облікових записів їхніх клієнтів.
Відомий з 2015 року - досі проблеми
За словами Travis CI, про цю проблему раніше повідомлялося в 2015 році, а востаннє в 2019 році, і згодом її було вирішено. Але, як показують останні дослідження Team Nautilus, це все ще серйозна проблема. Nautilus виявив, що дійсний діапазон журналів становить від 4.280.000 774.807.924 770 до 2013 2022 XNUMX, тобто потенційно існує понад XNUMX мільйонів скомпрометованих журналів. Найстаріші журнали датуються січнем XNUMX року, а найновіші – травнем XNUMX року.
🔎 Відсоток скомпрометованих журналів на постачальника хмарних послуг (Зображення: Aqua Security).
Рекомендація: негайно змініть ключ Travis CI API
Ця загроза може призвести до збільшення кількості атак на ланцюг постачання програмного забезпечення, що вже є критичною проблемою. Хоча Team Nautilus також знайшла потенційний доступ до журналів із обмеженим доступом, у Тревіса наразі немає подальших планів. Тому Nautilus рекомендує негайно змінити всі ключі Travis CI API. Aqua Security повідомила про виявлення вразливості відповідним постачальникам послуг. Майже всі вони були стривожені та швидко відреагували. Деякі спонукали до масштабного обміну ключами. Aqua Security опублікувала детальну статтю в блозі з описом уразливості.
Більше на Aquasec.com
Про Aqua Security Aqua Security є найбільшим постачальником нативної безпеки в чистій хмарі. Aqua дає своїм клієнтам свободу впроваджувати інновації та прискорювати свою цифрову трансформацію. Платформа Aqua Platform забезпечує запобігання, виявлення та автоматизацію реагування протягом життєвого циклу додатків, щоб захистити ланцюжок поставок, хмарну інфраструктуру та поточні робочі навантаження — незалежно від того, де вони розгорнуті.