![Yamasız Travis CI API Hatası, Binlerce Gizli Kullanıcı Erişim Simgesini Ortaya Çıkarıyor](https://kilalu.blog/news/2024-07-30-21:18/Yamasız Travis CI API Hatası, Binlerce Gizli Kullanıcı Erişim Simgesini Ortaya Çıkarıyor.jpg)
Travis CI API’sindeki yamalanmamış bir güvenlik sorunu, on binlerce geliştiricinin kullanıcı belirteçlerini potansiyel saldırılara maruz bırakarak tehdit aktörlerinin bulut altyapılarını ihlal etmesine, yetkisiz kod değişiklikleri yapmasına ve tedarik zinciri saldırıları başlatmasına etkin bir şekilde izin verdi.
Bulut güvenlik firması Aqua’dan araştırmacılar, “GitHub, AWS ve Docker Hub gibi popüler bulut hizmeti sağlayıcılarıyla ilişkili belirteçleri, sırları ve diğer kimlik bilgilerini kolayca çıkarabileceğiniz 770 milyondan fazla ücretsiz kullanıcı günlüğü mevcut” söz konusu Pazartesi raporunda.
Travis CI bir sürekli entegrasyon GitHub ve Bitbucket gibi bulut veri havuzu platformlarında barındırılan yazılım projelerini oluşturmak ve test etmek için kullanılan hizmet.
Daha önce 2015 yılında bildirilen sorun ve 2019olduğu gerçeğine dayanmaktadır. API geçmiş günlüklere açık metin biçiminde erişime izin vererek, kötü niyetli bir tarafın “önceden API aracılığıyla kullanılamayan günlükleri getirmesini” bile sağlar.
Günlükler, API aracılığıyla benzersiz bir açık metin günlüğü almak için kullanılan 4.280.000 ila 774.807.924 günlük numaraları arasında değişen Ocak 2013’e ve Mayıs 2022’ye kadar uzanır.
Dahası, 20.000 günlüğün daha ayrıntılı analizi, GitHub, AWS ve Docker Hub gibi çeşitli bulut hizmetleriyle ilişkili 73.000 jeton, erişim anahtarı ve diğer kimlik bilgilerini ortaya çıkardı.
![Kullanıcı Erişim Simgeleri Kullanıcı Erişim Simgeleri](https://teknomerscdn.cloudspecter.com/wp-content/uploads/2022/06/1655201436_783_Yamasiz-Travis-CI-API-Hatasi-Binlerce-Gizli-Kullanici-Erisim-Simgesini.jpg)
Bu, Travis CI’nin API hız sınırı ve otomatik olarak filtrele ” dizesini görüntüleyerek yapı günlüklerinden ortam değişkenlerini ve belirteçleri güvenli hale getirin[secure]” onların yerine.
Kritik içgörülerden biri, “github_token” gizlenirken, github_secret, gh_token, github_api_key ve github_secret dahil olmak üzere farklı bir adlandırma kuralı izleyen bu belirtecin diğer 20 varyasyonunun Travis CI tarafından maskelenmediğidir.
Araştırmacılar, “Travis CI, API’yi sorgulama yeteneğini engelleyen API çağrılarının hızını yavaşlattı” dedi. “Ancak bu durumda bu yeterli değildi. Yetenekli bir tehdit aktörü bunu atlamak için bir geçici çözüm bulabilir.”
“Ancak, günlüklere API aracılığıyla erişim kolaylığı, eksik sansürleme, ‘kısıtlanmış’ günlüklere erişim ve API’ye erişimin hız sınırlaması ve engellenmesi için zayıf bir süreç, çok sayıda potansiyel olarak açıkta kalan günlükle birleştiğinde, bir kritik durum.”
Travis CI, bulgulara yanıt olarak, sorunun “tasarım gereği” olduğunu ve kullanıcıların derleme günlüklerindeki sırları sızdırmaktan kaçınmak ve belirteçleri ve sırları periyodik olarak döndürmek için en iyi uygulamaları izlemesini gerektirdiğini söyledi.
Bulgular, NPM altyapısına erişimi artırmak ve belirli özel depoları klonlamak için Heroku ve Travis CI’ye verilen çalıntı OAuth kullanıcı belirteçlerinden yararlanan Nisan 2022 saldırı kampanyasının ardından özellikle önemlidir.
Popular Articles
- 05 Aug Apple yapay zeka yatırımlarında lider oldu
- 18 Jul Bülent Serttaş: Cumhurbaşkanımızı Üç Kez Ağlattım, Zalim, En Zayıf Noktamdan Yakaladın Beni Dedi
- 17 Jul Asi ve Havalı: Vücudumuzdan Kıyafetlerimize Transfer Olan Piercing Trendi
- 29 Jul İşte Benim Stilimin Popüler İsmi Ayşe Nur Balcı Geçirdiği Estetik Operasyonlar Sonrası Bambaşka Biri Olmuş!
- 12 Jul Geçirdiğiniz Hastalıkların Sebebi Olduğunu Muhtemelen Bilmediğiniz 35 Ruhsal Durum
Latest Articles
- 10 Aug LUNA, 1 Günde Yüzde 97 Değer Kaybetti: Yatırımcılar İsyan Etti! (ABD Hazine Bakanından Açıklama Geldi)
- 25 Jul Enerji Bakanı: Türkiyeye Yapılan ABD Merkezli Siber Saldırıyı Püskürttük
- 10 Aug Bu Hafta Yayınlanan ve Mutlaka İzlemeniz Gereken 9 Fragman
- 29 Jul Şans Topu sonuçları açıklandı! Şans Topu sonuç ekranı millipiyangoonlineda
- 27 Jul Metaya, yapay zekasının Brezilyadaki kişisel veriler üzerinde eğitim almasını durdurması emredildi