Un problème de sécurité non corrigé dans l’API Travis CI a laissé des dizaines de milliers de jetons d’utilisateurs de développeurs exposés à des attaques potentielles, permettant ainsi aux pirates de pénétrer dans les infrastructures cloud, d’apporter des modifications de code non autorisées et de lancer des attaques sur la chaîne d’approvisionnement. « Plus de 770 millions de journaux d’utilisateurs de niveau gratuit sont disponibles, à partir desquels vous pouvez facilement extraire des jetons, des secrets et d’autres informations d’identification associés à des fournisseurs de services cloud populaires tels que GitHub, AWS et Docker Hub », ont déclaré des chercheurs de la société de sécurité cloud Aqua. dans un rapport du lundi. Travis CI est un service d’intégration continue utilisé pour créer et tester des projets logiciels hébergés sur des plates-formes de référentiel cloud telles que GitHub et Bitbucket. Le problème, signalé précédemment en 2015 et 2019, est enraciné dans le fait que l’API autorise l’accès aux journaux historiques au format texte clair, permettant même à une partie malveillante de « récupérer les journaux qui n’étaient auparavant pas disponibles via l’API ». Les journaux remontent jusqu’en janvier 2013 et jusqu’en mai 2022, allant des numéros de journal 4 280 000 à 774 807 924, qui sont utilisés pour récupérer un journal en texte clair unique via l’API. De plus, une analyse plus approfondie de 20 000 journaux a révélé jusqu’à 73 000 jetons, clés d’accès et autres informations d’identification associées à divers services cloud tels que GitHub, AWS et Docker Hub.

Ceci malgré les tentatives de Travis CI de limiter le débit de l’API et de filtrer automatiquement les variables d’environnement sécurisées et les jetons des journaux de construction en affichant la chaîne « [secure] » à leur place. L’une des informations essentielles est que si « github_token » était obscurci, 20 autres variantes de ce jeton qui suivaient une convention de dénomination différente – y compris github_secret, gh_token, github_api_key et github_secret – n’étaient pas masquées par Travis CI. « Travis CI a ralenti la vitesse des appels d’API, ce qui entrave la capacité d’interroger l’API », ont déclaré les chercheurs. « Dans ce cas, cependant, cela ne suffisait pas. Un acteur qualifié de la menace peut trouver une solution de contournement pour contourner cela. » « Cependant, la combinaison de la facilité d’accès aux journaux via l’API, d’une censure incomplète, de l’accès aux journaux « restreints » et d’un processus faible de limitation du débit et de blocage de l’accès à l’API, associée à un grand nombre de journaux potentiellement exposés, entraîne un situation critique. » Travis CI, en réponse aux conclusions, a déclaré que le problème est « par conception », ce qui oblige les utilisateurs à suivre les meilleures pratiques pour éviter de divulguer des secrets dans les journaux de construction et à faire pivoter périodiquement les jetons et les secrets. Les résultats sont particulièrement significatifs à la suite d’une campagne d’attaque d’avril 2022 qui a exploité des jetons d’utilisateur OAuth volés délivrés à Heroku et Travis CI pour intensifier l’accès à l’infrastructure NPM et cloner certains référentiels privés.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *