Credenciales para miles de proyectos de código abierto gratis para llevar con usted, ¡otra vez!

imágenes falsas

Un servicio que ayuda a los desarrolladores de código abierto a escribir y probar software filtra miles de tokens de autenticación y otros secretos relacionados con la seguridad. Muchas de estas filtraciones permiten a los piratas informáticos acceder a las cuentas privadas de los desarrolladores en Github, Docker, AWS y otros repositorios de código, dijeron investigadores de seguridad en un nuevo informe.

La disponibilidad de las credenciales de desarrollador de terceros de Travis CI ha sido un problema constante desde al menos 2015. En ese momento, el servicio de vulnerabilidad HackerOne informó que una cuenta de Github que estaba usando se había visto comprometida cuando el servicio expuso un token de acceso a uno de los desarrolladores de HackerOne. Una fuga similar ocurrió en 2019 y nuevamente el año pasado.

Los tokens brindan a cualquier persona con acceso la capacidad de leer o modificar el código almacenado en repositorios que distribuyen una cantidad incalculable de aplicaciones de software y bibliotecas de códigos en ejecución. La posibilidad de obtener acceso no autorizado a tales proyectos abre la posibilidad de ataques a la cadena de suministro, donde los actores de amenazas manipulan el malware antes de que se distribuya a los usuarios. Los atacantes pueden usar su habilidad para manipular la aplicación para atacar una gran cantidad de proyectos que dependen de la aplicación en servidores de producción.

Aunque se trata de un problema de seguridad conocido, las filtraciones continúan, según los investigadores del equipo Nautilus de Aqua Security. Una serie de dos lotes de datos, a los que los investigadores accedieron a través de la interfaz de programación de Travis CI, arrojó 4,28 millones y 770 millones de registros desde 2013 hasta mayo de 2022. y varias credenciales.

«Estas claves de acceso y credenciales están vinculadas a proveedores de servicios en la nube populares, incluidos GitHub, AWS y Docker Hub», dijo Aqua Security. “Los atacantes pueden usar estos datos confidenciales para iniciar ataques cibernéticos masivos y moverse lateralmente en la nube. Cualquiera que haya usado Travis CI está potencialmente en riesgo, por lo que recomendamos rotar sus claves de inmediato”.

Travis CI es un proveedor de una práctica cada vez más común conocida como integración continua. A menudo abreviado como CI, automatiza el proceso de creación y prueba de cada cambio de código comprometido. Para cada cambio, el código se crea, prueba y fusiona regularmente en un repositorio común. Dado el nivel de acceso que necesita CI para funcionar correctamente, los entornos suelen almacenar tokens de acceso y otros secretos que brindan acceso privilegiado a partes confidenciales dentro de la cuenta en la nube.

Los tokens de acceso encontrados por Aqua Security afectaron las cuentas privadas de una variedad de repositorios, incluidos Github, AWS y Docker.

credentials travis ci

Seguridad acuática

Ejemplos de tokens de acceso expuestos son:

  • Tokens de acceso en GitHub, que pueden permitir el acceso privilegiado a los repositorios de código
  • Clave de acceso de AWS
  • Conjuntos de credenciales, generalmente un correo electrónico o un nombre de usuario y una contraseña, que permiten el acceso a bases de datos como MySQL y PostgreSQL
  • Contraseñas de Docker Hub que pueden conducir a la toma de control de la cuenta si MFA (autenticación de múltiples factores) no está habilitada

El siguiente gráfico muestra el desglose:

breakdown

Seguridad acuática

Los investigadores de Aqua Security agregaron:

Encontramos miles de tokens GitHub OAuth. Se puede suponer que al menos el 10-20% de ellos están vivos. Especialmente los encontrados en registros recientes. Simulamos un escenario de movimiento lateral en nuestro laboratorio en la nube basado en este escenario de acceso inicial:

1. Extracción de un token GitHub OAuth a través de protocolos Travis CI expuestos.

2. Descubrimiento de datos confidenciales (es decir, claves de acceso de AWS) en repositorios de códigos privados utilizando el token expuesto.

3. Intentos de movimiento lateral utilizando las claves de acceso de AWS en el servicio de depósito de AWS S3.

4. Descubrimiento de objetos de almacenamiento en la nube a través de la enumeración de depósitos.

5. Exfiltración de datos del S3 del objetivo al S3 del atacante.

scenario

Seguridad acuática

Los representantes de Travis CI no respondieron de inmediato a un correo electrónico solicitando comentarios sobre esta publicación. Dada la naturaleza recurrente de esta exposición, los desarrolladores deben rotar proactivamente los tokens de acceso y otras credenciales de manera regular. También debe escanear periódicamente sus artefactos de código para asegurarse de que no contengan credenciales. Aqua Security tiene consejos adicionales en su publicación.

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí

5 × dos =