Travis CI expose les secrets des utilisateurs du niveau gratuit – nouvelle revendication

  • FrançaisFrançais



  • Travis CI signifie “Intégration continue” mais pourrait tout aussi bien représenter “Consciously Insecure” si, comme le prétendent les chercheurs en sécurité, le logiciel d’automatisation de l’entreprise expose des secrets dès la conception.

    Aqua Security Software a déclaré lundi que ses chercheurs avaient signalé une vulnérabilité de divulgation de données avec l’API Travis CI. La réponse qu’ils ont dit avoir reçue est que tout fonctionne comme prévu.

    Dans un article de blog, les chercheurs en sécurité Yakir Kadkoda, Ilay Goldman, Assaf Morag et Ofek Itach ont déclaré avoir découvert que des dizaines de milliers de jetons d’utilisateur étaient accessibles via l’API Travis CI, qui permet de récupérer des fichiers journaux en texte clair.

    Il y a évidemment plus de 770 millions de journaux d’utilisateurs Travis CI de niveau gratuit disponibles à la demande via des appels API. Selon les chercheurs en sécurité, à partir de ces journaux, un attaquant peut extraire des jetons, des secrets et des informations d’identification utilisés pour interagir avec des services cloud tels qu’AWS, GitHub et Docker Hub.

    Le groupe Aqua Sec affirme que ces jetons peuvent être utilisés pour lancer des attaques ou se déplacer latéralement dans le cloud vers des systèmes adjacents.

    “Nous avons divulgué nos découvertes à Travis CI, qui a répondu que ce problème était” par conception “, donc tous les secrets sont actuellement disponibles”, ont déclaré les chercheurs d’Aqua Sec. “Tous les utilisateurs du niveau gratuit de Travis CI sont potentiellement exposés, nous vous recommandons donc de faire pivoter vos clés immédiatement.”

    L’équipe d’Aqua Sec a déclaré avoir signalé ses conclusions aux fournisseurs de services cloud, dont les jetons clients étaient exposés, et a obtenu une réponse différente : “Presque tous ont été alarmés et ont rapidement réagi”, ont-ils déclaré.

    code

    GitHub a enregistré les mots de passe en clair des utilisateurs de npm dans les fichiers journaux, révèle post mortem

    LIRE LA SUITE

    Certains ont alors institué une rotation des clés et d’autres ont vérifié qu’au moins la moitié des découvertes des chercheurs sont toujours valables, certains offrant des primes de bogues pour la divulgation.

    Si cela vous semble familier, c’est parce que ce problème a été signalé à Travis CI en 2015 et en 2019, mais ne semble pas encore avoir été entièrement résolu. Il est également apparu en septembre dernier.

    L’intégration continue et la livraison/le déploiement continus décrivent la pratique consistant à automatiser les pipelines modernes de développement de logiciels et de déploiement d’applications cloud. Cela implique des scripts qui récupèrent les secrets des environnements – jetons d’accès, clés API, etc. – afin de permettre la construction, les tests et la fusion de code. Les secrets de ce type ne doivent pas être divulgués car ils peuvent être utilisés pour permettre des attaques de la chaîne d’approvisionnement et le piratage de compte.

    L’API Travis CPI prend en charge la récupération des journaux via du texte clair et peut être explorée via l’énumération – en saisissant une plage continue de nombres. Les chercheurs ont également trouvé une API alternative, utilisant un format d’URL différent, qui permettait d’accéder à d’autres journaux qui n’étaient pas accessibles auparavant – peut-être d’anciens journaux supprimés. ®

    En changeant les références numériques obtenues en effectuant des appels d’API à l’aide de ces deux formats, les chercheurs ont découvert qu’ils pouvaient récupérer des journaux qui n’étaient pas disponibles auparavant et pouvaient y trouver des secrets.

    Ils ont testé leur technique et trouvé des journaux datant d’une décennie, avec des identifiants numériques allant d’environ 4 280 000 à 774 807 924 – une limite supérieure pour le nombre de journaux potentiellement exposés.

    Travis CI prend en charge diverses mesures de sécurité, telles que la limitation du taux d’appel de l’API, l’obscurcissement des jetons et des secrets, la rotation des secrets et la suppression des journaux. Néanmoins, les gens d’Aqua Sec étaient toujours en mesure de trouver des journaux en texte clair contenant des données sensibles.

    Dans un échantillon de 8 millions de demandes, les chercheurs ont pu obtenir 73 000 jetons et informations d’identification après le nettoyage des données requis. Ceux-ci donnaient accès à divers services cloud tels que GitHub, Codecov, AWS, RabbitMQ et autres.

    Par coïncidence, GitHub a émis en avril un avertissement concernant le vol de jetons OAuth délivrés à Heroku et Travis CI. Travis CI a répondu en notant que les clés et les jetons pertinents avaient été invalidés et qu’aucune donnée client n’était exposée.

    Travis CI n’a pas immédiatement répondu à une demande de commentaire. ®

    L'équipe de Comparaland

    L'équipe rédactionnnelle du site

    Pour contacter personnellement le taulier :

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée.