Technology

Credenciales para miles de proyectos gratuitos de código abierto, ¡otra vez!

Written by Admin

Credenciales para miles de proyectos gratuitos de código abierto, ¡otra vez!

imágenes falsas

Un servicio que ayuda a los desarrolladores de código abierto a escribir y probar software está filtrando miles de tokens de autenticación y otros secretos sensibles a la seguridad. Muchas de estas filtraciones dan acceso a los piratas informáticos a las cuentas privadas de los desarrolladores en Github, Docker, AWS y otros repositorios de código, dijeron expertos en seguridad en un nuevo informe.

La disponibilidad de credenciales de desarrollador de terceros de Travis CI ha sido un problema continuo desde al menos 2015. Alrededor de ese tiempo, el servicio de vulnerabilidad de seguridad HackerOne informó que una cuenta de Github que estaba usando se vio comprometida cuando el servicio expuesto un token de acceso para uno de los desarrolladores de HackerOne. Una fuga similar apareció nuevamente en 2019 y nuevamente el año pasado.

Los tokens brindan a cualquier persona con acceso a ellos la capacidad de leer o modificar el código almacenado en repositorios que distribuyen innumerables aplicaciones de software y bibliotecas de códigos actuales. La posibilidad de obtener acceso no autorizado a dichos proyectos abre la posibilidad de ataques a la cadena de suministro, en los que los actores de amenazas manipulan el malware antes de que se distribuya a los usuarios. Los atacantes pueden aprovechar su capacidad para alterar la aplicación para atacar una gran cantidad de proyectos que dependen de la aplicación en servidores de producción.

Aunque es un problema de seguridad conocido, las filtraciones han continuado, informan investigadores del equipo Nautilus de Aqua Security. Una serie de dos conjuntos de datos a los que acceden los investigadores utilizando el Interfaz de programación Travis CI produjo 4,28 millones y 770 millones de registros desde 2013 hasta mayo de 2022. Después de muestrear un pequeño porcentaje de los datos, los investigadores encontraron lo que creen que son 73 000 tokens, secretos y diversa información de identificación.

“Estas claves de acceso y credenciales están vinculadas a proveedores de servicios en la nube populares, incluidos GitHub, AWS y Docker Hub”, dijo Aqua Security. “Los atacantes pueden usar estos datos confidenciales para lanzar ataques cibernéticos masivos y moverse lateralmente a través de la nube. Cualquiera que haya usado Travis CI está potencialmente en riesgo, por lo que recomendamos girar las claves de inmediato”.

Travis CI es un proveedor de una práctica cada vez más común conocida como integración continua. A menudo abreviado como CI, automatiza el proceso de creación y prueba de cada cambio de código que se ha confirmado. Para cada cambio, el código se crea, prueba y fusiona regularmente en un repositorio compartido. Dado el nivel de acceso que CI necesita para funcionar correctamente, los entornos suelen almacenar tokens de acceso y otros secretos que brindan acceso privilegiado a partes confidenciales de la cuenta en la nube.

Los tokens de acceso encontrados por Aqua Security involucraban cuentas privadas de una amplia gama de repositorios, incluidos Github, AWS y Docker.

Seguridad del agua

Estos son ejemplos de tokens de acceso expuestos:

  • Tokens de acceso de GitHub que pueden permitir acceso privilegiado a repositorios de código
  • Claves de acceso de AWS
  • Conjuntos de credenciales, generalmente una dirección de correo electrónico o un nombre de usuario y una contraseña, que permiten el acceso a bases de datos como MySQL y PostgreSQL.
  • Contraseñas de Docker Hub, que pueden conducir a la toma de control de la cuenta si MFA (autenticación multifactor) no está habilitada

El siguiente gráfico muestra el desglose:

Seguridad del agua

Los investigadores de Aqua Security agregaron:

Encontramos miles de tokens GitHub OAuth. Es seguro asumir que al menos el 10-20% de ellos están activos. Especialmente los que se encuentran en los periódicos recientes. Simulamos en nuestro laboratorio en la nube un escenario de movimiento lateral, basado en este escenario de acceso inicial:

1. Extraer un token OAuth de GitHub a través de registros de Travis CI expuestos.

2. Descubrimiento de datos confidenciales (es decir, claves de acceso de AWS) en repositorios de códigos privados utilizando el token expuesto.

3. Intenta moverse lateralmente con las claves de acceso de AWS en el servicio de depósito de AWS S3.

4. Descubrimiento de objetos de almacenamiento en la nube a través de la enumeración de depósitos.

5. Exfiltración de datos del S3 del objetivo al S3 del atacante.

Seguridad del agua

Los representantes de Travis CI no respondieron de inmediato a un correo electrónico en busca de comentarios sobre la publicación. Dada la naturaleza recurrente de esta exposición, los desarrolladores deben rotar periódicamente de manera proactiva los tokens de acceso y otras credenciales. También deben escanear regularmente sus artefactos de código para asegurarse de que no contengan información de identificación. Aqua Security tiene consejos adicionales en su artículo.

About the author

Admin

Leave a Comment