Macos Brawte nfaq 0 Comments

Travis CIが無料ユーザーの秘密を公開 ― 新たな主張

Table of Contents

Travis CIが無料ユーザーの秘密を公開 ― 新たな主張

Travis CI は「継続的インテグレーション」の略ですが、セキュリティ研究者が主張するように、同社の自動化ソフトウェアが意図的に秘密を公開しているのであれば、「意識的に安全でない」という意味にもなり得ます。

Aqua Security Softwareは月曜日、同社の研究者からTravis CI APIにデータ漏洩の脆弱性が報告されたと発表した。同社によると、回答はすべて意図したとおりに機能しているとのことだ。

セキュリティ研究者のYakir Kadkoda氏、Ilay Goldman氏、Assaf Morag氏、Ofek Itach氏はブログ投稿で、クリアテキストのログファイルを取得する方法を提供するTravis CI APIを通じて、数万のユーザートークンにアクセスできることを発見したと述べた。

Travis CIの無料ユーザーからのログは7億7000万件以上あり、API呼び出しを通じてオンデマンドで利用可能であることが明らかにされています。セキュリティ研究者によると、攻撃者はこれらのログから、AWS、GitHub、Docker Hubなどのクラウドサービスとのやり取りに使用されるトークン、シークレット、認証情報を抽出できるとのことです。

Aqua Sec グループによれば、これらのトークンは攻撃を開始したり、クラウド内で隣接するシステムに横移動したりするために使用できるとのことです。

「私たちは調査結果をTravis CIに開示しました。Travis CIからは、この問題は『設計上の問題』であると回答があり、現在すべてのシークレットが利用可能です」とAqua Secの研究者は述べています。「Travis CIの無料版ユーザーは全員、潜在的に攻撃を受けている可能性があるため、直ちにキーのローテーションを行うことをお勧めします。」

Aqua Secのチームは、顧客トークンが漏洩したクラウドサービスプロバイダーに調査結果を報告したところ、異なる回答を得たと述べた。「ほぼすべてのプロバイダーが警戒し、迅速に対応した」とチームは語った。

コード

GitHubがログファイルにnpmユーザーのパスワードを平文で保存していたことが事後調査で判明

続きを読む

その後、一部の研究者はキーローテーションを導入し、他の研究者は研究者の発見の少なくとも半分は今でも有効であることを確認し、バグの開示に対して報奨金を提供する研究者もいた。

もし聞き覚えがあるとしたら、それはこの問題が2015年と2019年にTravis CIに報告されていたにもかかわらず、まだ完全に解決されていないためです。昨年9月にもこの問題が浮上しました。

継続的インテグレーションと継続的デリバリー/デプロイメントは、現代のソフトウェア開発とクラウドアプリケーションのデプロイメントパイプラインを自動化する手法を指します。これには、ビルド、テスト、コードのマージを実行するために、環境からアクセストークンやAPIキーなどのシークレットを取得するスクリプトが含まれます。このようなシークレットは、サプライチェーン攻撃やアカウントハイジャックに悪用される可能性があるため、漏洩してはなりません。

Travis CPI APIは、クリアテキストによるログの取得をサポートし、連続した数値範囲を入力することでログを探索できます。研究者らは、異なるURL形式を使用する代替APIも発見しました。このAPIは、これまでアクセスできなかった他のログ(おそらくは削除された古いログ)へのアクセスを可能にしました。®

研究者たちは、これら 2 つの形式を使用して API 呼び出しを行うことで取得した数値参照を切り替えることで、これまで入手できなかったログを取得し、その中にある秘密を見つけることができることを発見しました。

彼らはこの技術をテストし、約4,280,000から774,807,924までの数値識別子を持つ、10年前に遡るログを発見した。これは、潜在的に露出したログの数の上限である。

Travis CI は、API 呼び出しレートの制限、トークンとシークレットの難読化、シークレットのローテーション、ログの削除など、様々なセキュリティ対策をサポートしています。それでも、Aqua Sec の担当者は機密データを含む平文のログを見つけることができました。

研究者たちは、800万件のリクエストのサンプルから、必要なデータクリーンアップを行った後、73,000件のトークンと認証情報を取得することに成功しました。これらのトークンと認証情報は、GitHub、Codecov、AWS、RabbitMQなどの様々なクラウドサービスへのアクセスを可能にしました。

偶然にも、GitHubは4月にHerokuとTravis CIに発行されたOAuthトークンの盗難について警告を発しました。Travis CIは、関連するキーとトークンは無効化されており、顧客データは漏洩していないと回答しました。

Travis CIはコメント要請にすぐには応じなかった。®

Macos

Smart Recommendations

Discover More