in

Travis CI Flaw revela secretos detrás de miles de proyectos de código abierto


Travis CI

El proveedor de integración continua Travis CI ha abordado una grave vulnerabilidad de seguridad que expuso claves de API, tokens de acceso y credenciales, lo que podría exponer a las empresas que utilizan repositorios de código fuente públicos a más ataques.

El problema, registrado como CVE-2021-41077, se refiere al acceso no autorizado y al saqueo de datos del entorno clasificados relacionados con un proyecto público de código abierto durante el proceso de compilación del software. Según los informes, el problema duró durante una ventana de ocho días entre el 3 y el 10 de septiembre.

Felix Lange de Ethereum descubrió la filtración el 7 de septiembre con Péter Szilágyi. atribuido a la empresa señalar que «cada uno de estos exfiltrados y movimientos laterales en miles de [organizations]. «

Travis CI es una solución alojada de CI / CD (abreviatura de Continuous Integration and Continuous Deployment) para crear y probar proyectos de software alojados en sistemas de repositorio de código fuente como GitHub y Bitbucket.

«El comportamiento deseado (si .travis.yml fue creado localmente por un cliente y agregado a git) es que un servicio de Travis realice compilaciones de tal manera que el acceso público a los datos del entorno secreto específicos del cliente, como claves de firma, credenciales y Tokens API «, dice en la descripción de la vulnerabilidad. «Sin embargo, durante el intervalo especificado de 8 días, los datos secretos podrían ser revelados a un actor no autorizado que bifurcó un repositorio público e imprimió archivos durante un proceso de construcción».

En otras palabras, un repositorio público que se bifurcó de otro podría enviar una solicitud de extracción que podría obtener variables de entorno secretas establecidas en el repositorio original. Travis CI afirma en su propia documentación que «las variables de entorno cifradas no están disponibles para solicitudes de extracción de bifurcaciones debido al riesgo de seguridad de exponer dicha información a un código desconocido».

También ha reconocido el riesgo de divulgación a través de una solicitud de extracción externa: «Una solicitud de extracción enviada desde una bifurcación del repositorio ascendente podría manipularse para exponer las variables de entorno. El mantenedor del repositorio ascendente no tendría protección antes de este ataque, ya que la extracción cualquier persona que comparta el repositorio en GitHub puede enviar solicitudes «.

Szilágyi también pidió a Travis CI que minimice el incidente y no admita la «seriedad» del problema, mientras que al mismo tiempo pidió a GitHub que prohibiera la empresa debido a su mala situación de seguridad y la divulgación de vulnerabilidades. «Después de tres días de impresión a través de varios proyectos, [Travis CI] silenciosamente reparó el problema el día 10 «, tuiteó Szilágyi.» Sin análisis, sin informe de seguridad, sin autopsia, sin advertencia a sus usuarios de que sus secretos pueden haber sido robados «.

La empresa de la plataforma DevOps con sede en Berlín publicó un escueto «boletín de seguridad» el 13 de septiembre, instando a los usuarios a rotar sus claves con regularidad, y siguió con un segundo aviso en los foros de su comunidad de que no había evidencia de que los errores fueran explotados por partes malintencionadas. .

«Debido a la naturaleza extremadamente irresponsable [Travis CI] «Habiendo lidiado con esta situación y su posterior negativa a advertir a sus usuarios de cualquier secreto que pudieran haber filtrado, recomendamos encarecidamente que todos cambien de Travis de inmediato e indefinidamente», agregó Szilágyi.



What do you think?

Written by Helen Lafayette

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

GIPHY App Key not set. Please check settings

El nuevo ataque de phishing a los usuarios de Microsoft 365 utiliza redireccionamientos abiertos para evitar la detección

¡OMIGOD, una laguna explotable en el código fuente abierto de Microsoft! – Pura seguridad