Perşembe, Haziran 20, 2024
Ana SayfaTeknoloji HaberleriBinlerce açık kaynak projesi için ücretsiz kimlik bilgileri - tekrar!

Binlerce açık kaynak projesi için ücretsiz kimlik bilgileri – tekrar!

Binlerce açık kaynak projesi için ücretsiz kimlik bilgileri - tekrar!

Getty Resimleri

Açık kaynak geliştiricilerin yazılım yazmasına ve test etmesine yardımcı olan bir hizmet, binlerce kimlik doğrulama jetonunu ve diğer güvenlikle ilgili hassas sırları sızdırıyor. Güvenlik uzmanları yeni bir raporda, bu sızıntıların birçoğunun bilgisayar korsanlarının Github, Docker, AWS ve diğer kod depolarındaki geliştiricilerin özel hesaplarına erişmesine izin verdiğini söyledi.

Travis CI’den üçüncü taraf geliştirici kimlik bilgilerinin mevcudiyeti, en az 2015’ten beri devam eden bir sorun olmuştur. O sırada, güvenlik açığı hizmeti HackerOne, hizmetten biri için bir erişim belirteci gösterdiğinde kullandığı Github hesabının güvenliğinin ihlal edildiğini bildirdi. HackerOne geliştiricileri. Benzer bir sızıntı, 2019’da ve geçen yıl yine kendini gösterdi.

Belirteçler, erişimi olan herkese, sayısız devam eden yazılım uygulaması ve kod kitaplığı dağıtan depolarda depolanan kodu okuma veya değiştirme yeteneği verir. Bu tür projelere yetkisiz erişim elde etme yeteneği, tehdit aktörlerinin kötü amaçlı yazılımları kullanıcılara dağıtılmadan önce kurcaladığı tedarik zinciri saldırıları olasılığını açar. Saldırganlar, üretim sunucularında uygulamaya dayanan çok sayıda projeyi hedeflemek için uygulamayı kurcalama yeteneklerinden yararlanabilir.

Bunun bilinen bir güvenlik endişesi olmasına rağmen, sızıntılar devam etti, Aqua Security firmasındaki Nautilus ekibindeki araştırmacılar bildiriyor. Araştırmacıların Travis CI programlama arayüzünü kullanarak eriştiği bir dizi iki veri grubu, 2013’ten Mayıs 2022’ye kadar 4,28 milyon ve 770 milyon günlük sağladı. Verilerin küçük bir yüzdesini örnekledikten sonra, araştırmacılar 73.000 jeton, sır, ve çeşitli kimlik bilgileri.

Aqua Security, “Bu erişim anahtarları ve kimlik bilgileri, GitHub, AWS ve Docker Hub dahil olmak üzere popüler bulut hizmeti sağlayıcılarıyla bağlantılıdır” dedi. “Saldırganlar, bu hassas verileri büyük siber saldırılar başlatmak ve bulutta yanlamasına hareket etmek için kullanabilir. Travis CI’yi kullanan herkes potansiyel olarak açıktadır, bu nedenle anahtarlarınızı hemen döndürmenizi öneririz.”

Travis CI, sürekli entegrasyon olarak bilinen ve giderek yaygınlaşan bir uygulamanın sağlayıcısıdır. Genellikle CI olarak kısaltılır, taahhüt edilen her kod değişikliğini oluşturma ve test etme sürecini otomatikleştirir. Her değişiklik için kod düzenli olarak oluşturulur, test edilir ve paylaşılan bir depoda birleştirilir. Erişim CI’sinin düzgün çalışması gerektiği düşünüldüğünde, ortamlar genellikle erişim belirteçlerini ve bulut hesabı içindeki hassas parçalara ayrıcalıklı erişim sağlayan diğer sırları depolar.

Aqua Security tarafından bulunan erişim belirteçleri, Github, AWS ve Docker dahil olmak üzere çok çeşitli depoların özel hesaplarını içeriyordu.

Su Güvenliği

Ortaya çıkan erişim belirteçlerinin örnekleri şunları içerir:

  • Kod havuzlarına ayrıcalıklı erişime izin verebilecek GitHub’a erişim belirteçleri
  • AWS erişim anahtarları
  • MySQL ve PostgreSQL gibi veritabanlarına erişime izin veren, genellikle bir e-posta veya kullanıcı adı ve parola gibi kimlik bilgileri kümeleri
  • MFA (çok faktörlü kimlik doğrulama) etkinleştirilmezse hesabın devralınmasına neden olabilecek Docker Hub parolaları

Aşağıdaki grafik dökümü göstermektedir:

Su Güvenliği

Aqua Security araştırmacıları şunları ekledi:

Binlerce GitHub OAuth jetonu bulduk. Bunların en az %10-20’sinin canlı olduğunu varsaymak güvenlidir. Özellikle son günlüklerde bulunanlar. Bulut laboratuvarımızda, bu ilk erişim senaryosuna dayanan bir yanal hareket senaryosunu simüle ettik:

1. Açıkta kalan Travis CI günlükleri aracılığıyla GitHub OAuth belirtecinin çıkarılması.

2. Açıktaki belirteç kullanılarak özel kod havuzlarında hassas verilerin (yani AWS erişim anahtarlarının) keşfi.

3. AWS S3 kova hizmetinde AWS erişim anahtarları ile yanal hareket girişimleri.

4. Kova numaralandırma yoluyla bulut depolama nesnesi keşfi.

5. Hedefin S3’ünden saldırganın S3’üne veri hırsızlığı.

Su Güvenliği

Travis CI temsilcileri, bu gönderi için yorum isteyen bir e-postaya hemen yanıt vermedi. Bu maruz kalmanın yinelenen doğası göz önüne alındığında, geliştiricilerin erişim belirteçlerini ve diğer kimlik bilgilerini proaktif olarak periyodik olarak döndürmesi gerekir. Ayrıca, kimlik bilgilerini içermediklerinden emin olmak için kod yapılarını düzenli olarak taramalıdırlar. Aqua Security’nin gönderisinde ek tavsiyeler var.

RELATED ARTICLES

Popüler Konular