Binlerce açık kaynak projesi için ücretsiz kimlik bilgileri – tekrar!


Binlerce açık kaynak projesi için ücretsiz kimlik bilgileri - tekrar!

Getty Resimleri

Açık kaynak geliştiricilerin yazılım yazmasına ve test etmesine yardımcı olan bir hizmet, binlerce kimlik doğrulama jetonunu ve diğer güvenlikle ilgili hassas sırları sızdırıyor. Güvenlik uzmanları yeni bir raporda, bu sızıntıların birçoğunun bilgisayar korsanlarının Github, Docker, AWS ve diğer kod depolarındaki geliştiricilerin özel hesaplarına erişmesine izin verdiğini söyledi.

Üçüncü taraf geliştirici kimlik bilgilerinin kullanılabilirliği Travis CI en az 2015’ten beri devam eden bir sorun olmuştur. O sırada, güvenlik açığı hizmeti HackerOne, hizmet sırasında kullandığı Github hesabının güvenliğinin ihlal edildiğini bildirdi. bir erişim belirtecini açığa çıkardı HackerOne geliştiricilerinden biri için. Benzer bir sızıntı, 2019’da ve geçen yıl yine kendini gösterdi.

Belirteçler, erişimi olan herkese, sayısız devam eden yazılım uygulaması ve kod kitaplığı dağıtan depolarda depolanan kodu okuma veya değiştirme yeteneği verir. Bu tür projelere yetkisiz erişim elde etme yeteneği, tehdit aktörlerinin kötü amaçlı yazılımları kullanıcılara dağıtılmadan önce kurcaladığı tedarik zinciri saldırıları olasılığını açar. Saldırganlar, üretim sunucularında uygulamaya dayanan çok sayıda projeyi hedeflemek için uygulamayı kurcalama yeteneklerinden yararlanabilir.

Bunun bilinen bir güvenlik endişesi olmasına rağmen, sızıntılar devam etti, Aqua Security firmasındaki Nautilus ekibindeki araştırmacılar bildiriyor. Araştırmacıların eriştiği iki grup veriden oluşan bir dizi Travis CI programlama arayüzü 2013’ten Mayıs 2022’ye kadar 4,28 milyon ve 770 milyon günlük elde edildi. Verilerin küçük bir yüzdesini örnekledikten sonra, araştırmacılar 73.000 jeton, sır ve çeşitli kimlik bilgileri olduğuna inandıklarını buldular.

Aqua Security, “Bu erişim anahtarları ve kimlik bilgileri, GitHub, AWS ve Docker Hub dahil olmak üzere popüler bulut hizmeti sağlayıcılarıyla bağlantılıdır” dedi. “Saldırganlar, bu hassas verileri büyük siber saldırılar başlatmak ve bulutta yanlamasına hareket etmek için kullanabilir. Travis CI’yi kullanan herkes potansiyel olarak açıktadır, bu nedenle anahtarlarınızı hemen döndürmenizi öneririz.”

Travis CI, sürekli entegrasyon olarak bilinen ve giderek yaygınlaşan bir uygulamanın sağlayıcısıdır. Genellikle CI olarak kısaltılır, taahhüt edilen her kod değişikliğini oluşturma ve test etme sürecini otomatikleştirir. Her değişiklik için kod düzenli olarak oluşturulur, test edilir ve paylaşılan bir depoda birleştirilir. Erişim CI’sinin düzgün çalışması gerektiği düşünüldüğünde, ortamlar genellikle erişim belirteçlerini ve bulut hesabı içindeki hassas parçalara ayrıcalıklı erişim sağlayan diğer sırları depolar.

Aqua Security tarafından bulunan erişim belirteçleri, Github, AWS ve Docker dahil olmak üzere çok çeşitli depoların özel hesaplarını içeriyordu.

Su Güvenliği

Ortaya çıkan erişim belirteçlerinin örnekleri şunları içerir:

  • Kod havuzlarına ayrıcalıklı erişime izin verebilecek GitHub’a erişim belirteçleri
  • AWS erişim anahtarları
  • MySQL ve PostgreSQL gibi veritabanlarına erişime izin veren, genellikle bir e-posta veya kullanıcı adı ve parola gibi kimlik bilgileri kümeleri
  • MFA (çok faktörlü kimlik doğrulama) etkinleştirilmezse hesabın devralınmasına neden olabilecek Docker Hub parolaları

Aşağıdaki grafik dökümü göstermektedir:

Su Güvenliği

Aqua Security araştırmacıları şunları ekledi:

Binlerce GitHub OAuth jetonu bulduk. Bunların en az %10-20’sinin canlı olduğunu varsaymak güvenlidir. Özellikle son günlüklerde bulunanlar. Bulut laboratuvarımızda, bu ilk erişim senaryosuna dayanan bir yanal hareket senaryosunu simüle ettik:

1. Açıkta kalan Travis CI günlükleri aracılığıyla GitHub OAuth belirtecinin çıkarılması.

2. Açıktaki belirteç kullanılarak özel kod havuzlarında hassas verilerin (yani AWS erişim anahtarlarının) keşfi.

3. AWS S3 kova hizmetinde AWS erişim anahtarları ile yanal hareket girişimleri.

4. Kova numaralandırma yoluyla bulut depolama nesnesi keşfi.

5. Hedefin S3’ünden saldırganın S3’üne veri hırsızlığı.

Su Güvenliği

Travis CI temsilcileri, bu gönderi için yorum isteyen bir e-postaya hemen yanıt vermedi. Bu maruz kalmanın yinelenen doğası göz önüne alındığında, geliştiricilerin erişim belirteçlerini ve diğer kimlik bilgilerini proaktif olarak periyodik olarak döndürmesi gerekir. Ayrıca, kimlik bilgilerini içermediklerinden emin olmak için kod yapılarını düzenli olarak taramalıdırlar. Aqua Security’nin gönderisinde ek tavsiyeler var.


Kaynak : https://arstechnica.com/?p=1860268

Yorum yapın