Bei der Suche nach Angriffsvektoren in Continuous-Integration- und Continuous-Delivery-Plattformen (CI/CD) ist das Team Nautilus der Security-Experten von Aquasec auf eine Schwachstelle in der API von Travis CI gestoßen. Angreifer könnten die Sicherheitslücke demnach ausnutzen, um Zugriff auf Zehntausende sensible Informationen wie Nutzerdaten, Tokens und Passwörter zu erlangen. Laut Aquasec betrifft das Problem zwar lediglich die frei verfügbare kostenlose Version von Travis CI, über die Schwachstelle liegen aber Millionen von Logdateien offen, in denen die genannten sensiblen Daten im Klartext enthalten sind. Darunter finden sich Zugangsschlüssel und Anmeldeinformationen zu Clouddiensten wie GitHub, AWS, Docker Hub und vielen weiteren, die es Angreifern ermöglichen, sich lateral von Dienst zu Dienst durch das Internet zu bewegen. Das unterstreichen auch jüngste Fälle wie der Zugriff mit gestohlenen OAuth-Tokens auf private Repositorys bei GitHub. Zum Zeitpunkt der Aufdeckung der Travis-CI-Sicherheitslücke seien zumindest bei einigen der Serviceanbieter noch bis zu 50 Prozent der mit ihnen verknüpften Travis-CI-Token, -Nutzerdaten und -Passwörter gültig gewesen – wie die Unternehmen gegenüber Aquasec bestätigt hätten. Die Schwachstelle in der Travis-CI-API wurde erstmals 2015 bekannt gemacht. Das Travis-Team hatte eigenen Angaben zufolge Gegenmaßnahmen eingeleitet, und im Anschluss gemeldet, dass die zum Schutz eingeführte adaptive Ratenbegrenzung und Blockierung einwandfrei funktioniere. Einer Forschergruppe um Justin Gardner, Corben Leo und EdOverflow, die als Bug Bounty Hunter verschiedene CI-Plattformen unter die Lupe nahmen, gelang es 2019 jedoch erneut, Tokens, Anmeldeinformationen und andere sensible Daten aus den Travis-CI-Logs zu extrahieren. Ihre Vorgehensweise lässt sich in ihrem Blogbeitrag dazu nachvollziehen. Da CI/CD-Pipelines inzwischen Kernelemente in der Cloud-nativen Anwendungsentwicklung sind, kommt ihnen auch eine zentrale Rolle als potenziellem Angriffsvektor für Cyberattacken zu. Um die damit konkret verbundenen Gefahren einschätzen zu können, hat Team Nautilus bei der Überprüfung der Travis-CI-API sowohl auf die von Justin Gardner, Corben Leo und EdOverflow genutzten Methoden zurückgegriffen als auch weitere Verfahren zur Analyse der Rohdaten hinzugezogen. Die einzelnen Schritte vom Zugriff auf die Klartextlogdaten über geeignete API Calls bis zur Extraktion der Credentials beschreibt das Team ausführlich im Aquasec-Blog. Im Zuge der Untersuchung habe sich gezeigt, dass Travis CI eine Reihe von Maßnahmen eingeführt habe, um sensible Daten und Tokens zu verhüllen, und mit Empfehlungen wie etwa der Aufforderung zum manuellen Löschen von Build-Protokollen sowie regelmäßiger Rotation bei den Credentials dazu beiträgt, das Risiko zu minimieren. In den meisten der von Team Nautilus untersuchten Logs waren Tokens offenbar verschleiert, Aquasec stuft die Situation dennoch weiterhin kritisch ein. Die nicht vollständige Verschleierung von Credentials kombiniert mit dem einfachen Zugriff auf Logdateien über die API, die weiterhin unzureichenden Verfahren zur Ratenbegrenzung und Sperrung des Zugriffs auf die API eröffneten Angreifern nach wie vor eine zu große Angriffsfläche in der Software-Lieferkette.