Un servicio que ayuda a los desarrolladores de código abierto a escribir y probar software está filtrando miles de tokens de autenticación y otros secretos sensibles a la seguridad. Muchas de estas filtraciones permiten a los hackers acceder a las cuentas privadas de los desarrolladores en Github, Docker, AWS y otros repositorios de código, según afirman los expertos en seguridad en un nuevo informe.

La disponibilidad de las credenciales de desarrolladores de terceros de Travis CI (servicio de integración continua) ha sido un problema constante desde al menos 2015. En ese momento, el servicio de vulnerabilidad de seguridad HackerOne informó que una cuenta de Github que utilizaba había sido comprometida cuando el servicio expuso un token de acceso para uno de los desarrolladores de HackerOne. Una filtración similar se presentó de nuevo en 2019 y de nuevo el año pasado.

Los tokens dan a cualquier persona con acceso a ellos la capacidad de leer o modificar el código almacenado en los repositorios que distribuyen un número incalculable de aplicaciones de software y bibliotecas de código en curso. La capacidad de obtener acceso no autorizado a tales proyectos abre la posibilidad de ataques a la cadena de suministro, en los que los actores de la amenaza manipulan el malware antes de que se distribuya a los usuarios. Los atacantes pueden aprovechar su capacidad de manipular la aplicación para dirigirse a un gran número de proyectos que dependen de la aplicación en los servidores de producción.

A pesar de ser un problema de seguridad conocido, las filtraciones han continuado, según informan los investigadores del equipo Nautilus de la empresa Aqua Security. Una serie de dos lotes de datos a los que los investigadores accedieron utilizando la interfaz de programación de Travis CI arrojó 4,28 millones y 770 millones de registros desde 2013 hasta mayo de 2022. Tras muestrear un pequeño porcentaje de los datos, los investigadores encontraron lo que creen que son 73.000 tokens, secretos y credenciales diversas.

Travis CI es un proveedor de una práctica cada vez más común conocida como integración continua. A menudo abreviado como CI, automatiza el proceso de construcción y prueba de cada cambio de código que se ha comprometido. Para cada cambio, el código se construye, se prueba y se fusiona regularmente en un repositorio compartido. Dado el nivel de acceso que CI necesita para funcionar correctamente, los entornos suelen almacenar tokens de acceso y otros secretos que proporcionan acceso privilegiado a partes sensibles dentro de la cuenta de la nube.

Los tokens de acceso encontrados por Aqua Security involucraban cuentas privadas de una amplia gama de repositorios, incluyendo Github, AWS y Docker.

Los ejemplos de tokens de acceso que fueron expuestos incluyen:

• Tokens de acceso a GitHub que pueden permitir el acceso privilegiado a los repositorios de código

• Claves de acceso a AWS

• Conjuntos de credenciales, normalmente un correo electrónico o un nombre de usuario y una contraseña, que permiten el acceso a bases de datos como MySQL y PostgreSQL

• Contraseñas de Docker Hub, que pueden dar lugar a la toma de posesión de la cuenta si no se activa la MFA (autenticación multifactor).

Este sería el proceso de acceso inicial según los investigadores:

1. Extracción de un token OAuth de GitHub a través de los logs expuestos de Travis CI.

2. Descubrimiento de datos sensibles (es decir, claves de acceso de AWS) en repositorios de código privado utilizando el token expuesto.

3. Intentos de movimiento lateral con las claves de acceso de AWS en el servicio de cubos de AWS S3.

4. Descubrimiento de objetos de almacenamiento en la nube a través de la enumeración de cubos.

5. Exfiltración de datos del S3 del objetivo al S3 del atacante.