Masalah keamanan yang belum ditambal di Travis CI API telah menyebabkan puluhan ribu token pengguna pengembang terkena potensi serangan, secara efektif memungkinkan pelaku ancaman untuk menembus infrastruktur cloud, membuat perubahan kode yang tidak sah, dan memulai serangan rantai pasokan.
“Tersedia lebih dari 770 juta log pengguna tingkat gratis, yang darinya Anda dapat dengan mudah mengekstrak token, rahasia, dan kredensial lain yang terkait dengan penyedia layanan cloud populer seperti GitHub, AWS, dan Docker Hub,” kata peneliti dari perusahaan keamanan cloud Aqua. dalam laporan Senin.
Travis CI adalah layanan integrasi berkelanjutan yang digunakan untuk membangun dan menguji proyek perangkat lunak yang dihosting di platform penyimpanan cloud seperti GitHub dan Bitbucket.
Masalah yang sebelumnya dilaporkan pada tahun 2015 dan 2019, berakar pada fakta bahwa API mengizinkan akses ke log historis dalam format teks yang jelas, memungkinkan pihak jahat untuk “mengambil log yang sebelumnya tidak tersedia melalui API.”
Log kembali ke Januari 2013 dan hingga Mei 2022, mulai dari nomor log 4.280.000 hingga 774.807.924, yang digunakan untuk mengambil log teks-jelas unik melalui API.
Terlebih lagi, analisis lebih lanjut dari 20.000 log mengungkapkan sebanyak 73.000 token, kunci akses, dan kredensial lain yang terkait dengan berbagai layanan cloud seperti GitHub, AWS, dan Docker Hub.
Ini terlepas dari upaya Travis CI untuk membatasi API dan secara otomatis menyaring variabel dan token lingkungan yang aman dari log build dengan menampilkan string “[secure]” di tempat mereka.
Salah satu wawasan penting adalah bahwa sementara “github_token” dikaburkan, 20 variasi lain dari token ini yang mengikuti konvensi penamaan yang berbeda — termasuk github_secret, gh_token, github_api_key, dan github_secret — tidak ditutupi oleh Travis CI.
“Travis CI memperlambat kecepatan panggilan API, yang menghalangi kemampuan untuk menanyakan API,” kata para peneliti. “Namun dalam kasus ini, ini tidak cukup. Seorang aktor ancaman yang terampil dapat menemukan solusi untuk melewati ini.”
“Namun, menggabungkan kemudahan mengakses log melalui API, sensor yang tidak lengkap, mengakses log ‘terbatas’, dan proses yang lemah untuk membatasi kecepatan dan memblokir akses ke API, ditambah dengan sejumlah besar log yang berpotensi terpapar, menghasilkan situasi kritis.”
Travis CI, sebagai tanggapan atas temuan tersebut, mengatakan bahwa masalahnya adalah “berdasarkan rancangan”, yang mengharuskan pengguna mengikuti praktik terbaik untuk menghindari kebocoran rahasia dalam log pembuatan dan secara berkala merotasi token dan rahasia.
Temuan ini sangat signifikan setelah kampanye serangan April 2022 yang memanfaatkan token pengguna OAuth curian yang dikeluarkan untuk Heroku dan Travis CI untuk meningkatkan akses ke infrastruktur NPM dan mengkloning repositori pribadi tertentu.