CI ビルド ログから企業秘密が暴露され続ける

  • Sep 05, 2023

研究者チームは、Travis CI ビルド ログ内でさまざまな企業の GitHub アクセス トークンを発見しました。

安全

  • 安全性の高いリモート ワーカーの 8 つの習慣
  • 携帯電話からスパイウェアを見つけて削除する方法
  • 最高の VPN サービス: トップ 5 をどう比較しますか?
  • データ侵害に関与しているかどうかを確認する方法 - 次に何をすべきか

この問題が周知になってから何年も経った今でも、セキュリティ研究者は継続的統合サービスの奥深くに隠された秘密を発見し続けています。

継続的インテグレーション (CI) は、プログラマーがさまざまな間隔で開発コードをメイン アプリに統合することを必要とするコーディング手法です。 このコードはコンパイル/ビルドされて運用システムのコピーに戻され、自動システムを使用してコードのバグがテストされます。

CI の目的は、コーディング プロセスのできるだけ早い段階でバグを発見し、事前に検出することです。 プロジェクトの残りの部分に深く組み込まれすぎているため、その時点で大規模な作業が必要になる可能性があります。 書き換えます。

すべての CI サービスの中で最も有名で広く使用されているのは Travis CI と呼ばれるサービスで、主に GitHub との統合により愛されていますが、Circle CI や GitLab CI などの他のサービスも存在します。

他の Web アプリケーションと同様に、Travis CI は発生したすべてのログを保存します。その中で最も重要なものの 1 つは、 プロジェクトのビルド ログ。Travis CI は開発内コードを取得し、それをメイン コード リポジトリと呼ばれる操作で統合します。 "建てる。"

ビルド プロセス中は、さまざまなリモート サーバーや API との対話が必要で、パスワード、SSH キー、または API トークンが使用でき、これらは本質的に Travis CI ログに記録されたままになります。

古い問題がまた新たに

数年前、セキュリティ研究者は次のことに気づきました。 彼らは Travis CI ログを精査することができました API キーやその他の秘密を調べ、これらの問題を企業に報告してバグ報奨金を受け取ることができます。

善意のセキュリティ研究者だけでなく、脅威アクターも同じことができることに気づき、中には Travis CI に対して攻撃を開始しました ビルド ログを一括検索して、これらのシークレットの一部を抽出します。

Travis CI チームはこれらの攻撃から学び、それ以来プロセスを変更してきました。 過去数年間、Travis CI サービスは、パスワードや API トークンのように見えるパターンを検出するさまざまな自動スクリプトを実行してきました。 これらを「[secure]」という単語に置き換えます。 ビルドログ内。

しかし3年後、 7人のバグ賞金稼ぎチームが発見した Travis CI、Circle CI、GitLab CI などのいくつかの CI サービスでは最善の努力とさまざまな対策が講じられているにもかかわらず、一部のビルド ログには依然として秘密が含まれています。

研究者らは特別に作成されたツールを使用して、過去数か月間の CI ビルド ログをスキャンし、機密データの新たな漏洩を発見しました。

彼らは漏れを発見した 文法的に, 談話、公的暗号通貨プログラム、そして彼らが名前を出したくなかった組織。

「全体的に見て、最も影響力のある調査結果は主に GitHub のアクセス トークンの漏洩でした」と研究者らは述べています。 彼らは現在、企業に対し、Travis CI の基本的なパターン フィルタリング手順をすり抜ける可能性のある機密トークンがないか CI ビルド ログを確認するよう求めています。

CI ビルドログは、デッドパッケージをまだ使用しているアプリを非表示にします

さらに、研究者らは、攻撃者はシークレット アクセス トークン以外にも、別の方法で CI ビルド ログを検索して「npm にない」などの用語を検索する可能性があるとも述べています。 「レジストリ」、「一致するディストリビューションがありません」、および「有効な gem が見つかりませんでした」。これらはライブラリが npm、PyPI、または RubyGems パッケージから削除された場合のエラー メッセージです。 リポジトリ。

研究者らによると、攻撃者はこのトリックを利用して、アクティブなプロジェクトでまだ使用されている無効なパッケージの名前を知ることができるという。

その後、それらのパッケージを再登録し、正規のプロジェクトをバックドアするために不正なライブラリを使用する可能性があります。

研究者らは現在、企業がビルドログを詳しく調査することで、見逃していた攻撃の新たな経路を発見できるかもしれないと期待している。

「この調査は、継続的統合サービスが存在する、ほとんど目に見えないところに存在する大きな攻撃対象領域をより深く理解するのに役立ちました」と研究チームは述べています。

ほぼすべてのデバイスからデータを迅速かつ安全に消去する方法

その他の脆弱性レポート:

  • Windows 10のゼロデイエクスプロイトコードがオンラインで公開される
  • BlueKeep RDP の欠陥に対する激しいスキャン アクティビティが検出されました
  • イーサリアムクライアントの大部分はパッチが適用されていないままです
  • 研究者が 3 日連続で Windows ゼロデイを公開
  • モバイルの Chrome、Safari、Firefox では 1 年以上フィッシング警告が表示されませんでした
  • 上位 1,000 個の Docker コンテナの 20% でルート アカウントの構成ミスが見つかる
  • KRACK 攻撃: 企業の対応は次のとおりですCNET
  • アプリの脆弱性トップ 10: パッチが適用されていないプラグインと拡張機能が大半を占める TechRepublic