Un problema de seguridad sin parches en la API de Travis CI ha dejado a decenas de miles de tokens de usuarios de desarrolladores expuestos a posibles ataques, lo que permite a los actores de amenazas violar las infraestructuras de la nube, realizar cambios de c\u00f3digo no autorizados e iniciar ataques a la cadena de suministro.<\/p>\n
“Hay m\u00e1s de 770 millones de registros de usuarios de nivel gratuito disponibles, de los cuales puede extraer f\u00e1cilmente tokens, secretos y otras credenciales asociadas con proveedores de servicios en la nube populares como GitHub, AWS y Docker Hub”, investigadores de la firma de seguridad en la nube Aqua. dijo<\/a> en un informe del lunes.<\/p>\n Travis CI es un integraci\u00f3n continua<\/a> servicio utilizado para crear y probar proyectos de software alojados en plataformas de repositorio en la nube como GitHub y Bitbucket.<\/p>\n El problema, informado anteriormente en 2015 y 2019<\/a>tiene su origen en el hecho de que la API<\/a> permite el acceso a registros hist\u00f3ricos en formato de texto claro, lo que permite que una parte malintencionada incluso “obtenga los registros que antes no estaban disponibles a trav\u00e9s de la API”.<\/p>\n Los registros se remontan a enero de 2013 y hasta mayo de 2022, y van desde los n\u00fameros de registro 4\u00a0280\u00a0000 hasta el 774\u00a0807\u00a0924, que se utilizan para recuperar un registro de texto simple \u00fanico a trav\u00e9s de la API.<\/p>\n Adem\u00e1s, un an\u00e1lisis m\u00e1s profundo de 20\u00a0000 registros revel\u00f3 hasta 73\u00a0000 tokens, claves de acceso y otras credenciales asociadas con varios servicios en la nube como GitHub, AWS y Docker Hub.<\/p>\n Esto es a pesar de los intentos de Travis CI de l\u00edmite de velocidad de la API<\/a> y filtrar autom\u00e1ticamente<\/a> asegure las variables de entorno y los tokens de los registros de compilaci\u00f3n mostrando la cadena “[secure]”en su lugar.<\/p>\n Una de las ideas cr\u00edticas es que, si bien “github_token” estaba ofuscado, Travis CI no enmascar\u00f3 otras 20 variaciones de este token que segu\u00edan una convenci\u00f3n de nomenclatura diferente, incluidos github_secret, gh_token, github_api_key y github_secret.<\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/05\/Microsoft-advierte-sobre-los-skimmers-web-que-imitan-Google-Analytics.png\")
<\/a><\/div>\n![\"Fichas](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/06\/1655202764_68_El-error-de-la-API-de-Travis-CI-sin-parches.jpg\" "\\"Fichas")
<\/div>\n
![\"La](\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEj6zHdXd3qpCksF0nkMkrjsOzaw-cxZGPHWoTEp9y7VPIeyPBFGsmIyIX8NTkqI1IDqnIXYnsZuIh4rc9f8TNUn7ndAZqtXc-t58X2oueTaL4Ijb4hgH-b183QvQ0ienXIipuOsqeLP5b8I2prKmp0RWvdZQgnKehVRKbqRQpin1JgfwlZeE_IB4EmesQ\/s1600\/crowdsec-728.jpg\")
<\/a><\/div>\n