La chaîne d'approvisionnement est menacée via l'API Travis CI selon Aqua Security
lun, 13/06/2022 - 15:48
Aqua Security a publié sur son blog une "alerte cyber sécurité" émanant de son équipe de recherche, Nautilus. Cette alerte concerne des dizaines de milliers de secrets exposés pouvant être facilement obtenus via l'API Travis CI.
L'API Travis offre un accès facilité à des dizaines de milliers de tokens, de secrets et autres informations d'identification. Avec ces secrets, les hackers peuvent potentiellement modifier le code et lancer des attaques sur la chaîne d'approvisionnement. Ces clés d'accès et ces informations d'identification sont liées à des fournisseurs de services cloud connus, comme GitHub, AWS, Docker Hub et bien d'autres. Certains d'entre eux ont confirmé que jusqu'à 50% des tokens/secrets/mots de passe étaient encore valides et permettaient d'accéder aux comptes de leurs clients. Selon Travis CI, ce problème a été signalé par le passé et entièrement corrigé, mais selon les experts Nautilus, leurs recherches prouvent qu'il s'agit toujours d'un problème de sécurité critique. Travis ne prévoit pas de mesures additionnelles. L'équipe Nautilus a également trouvé un accès à des logs restreints qui peuvent être potentiellement lus.