Travis CI安全缺失使免費版Log曝光，危及GitHub、AWS、Docker登入憑證

安全廠商Aqua Security發現，持續整合服務平臺Travis CI免費版的防護缺失，致用戶Log資料曝光，並危及存取GitHub、AWS和Docker Hub等雲端服務的登入憑證。而這已是該業者近年來第三次安全事件。

Aqua Security下的Team Nautilus近日測試發現，Travis CI API可使攻擊者存取免費版本用戶的log，超過7.7億筆log因此曝光，從中可以很輕易取得用戶存取其他雲端服務如GitHub、AWS、Docker Hub、PostgreSQL的權杖（user token）、密碼或其他登入憑證。這些機密資料可讓攻擊者發動大規模攻擊，或是在雲端橫向移動。

這至少是Travis CI近年來第三次見報的安全疏漏。前兩次分別在2015年及2019年。2015年該公司公告其公開API遭分散式攻擊，洩露GitHub驗證權杖。2019年一群研究人員則展示可取得Travis CI在內雲端服務業者的用戶憑證。但這些漏洞似乎從未修補。

Aqua Security的研究中，研究人員發現2個API call讓他們得以取得明碼的log ，再搭配列舉指令，取得大量log。他們一共取得7.74億筆log，時間從2013年1月到今年5月。研究人員以其中1%、約800萬個log進行測試，成功找到7.3萬筆權杖、密碼或其他憑證，包括知名雲端服務如GitHub存取權杖、AWS金鑰、MySQL、PostgreSQL憑證、Docker Hub密碼等資訊。

研究人員也利用從中找到的GitHub OAuth權杖、AWS S3 bucket金鑰，模擬出在雲端橫向移動，完成目標AWS S3 bucket洩密的攻擊。其他可能攻擊還包括竊取原始碼、駭入程式碼儲存庫完成軟體供應鏈。

或許有些資料已被用於其他攻擊中。4月間GitHub對用戶警告，由於Heroku及Travis-CI的OAuth使用者權杖外洩，導致平臺上某些npm私有儲存庫被駭客存取。

研究人員指出，Travis CI的確有採取混淆手法（obfuscation）包括憑證資訊，也提供防資料外洩的建議，但他們結合API、存取特定受限制的log及防堵不周的缺失，而得以取得用戶資料。研究人員很快向Travis CI通報，但得到的回應是，這不是漏洞，而是設計原意如此（by design）。

研究人員同時也將發現告知上述相關雲端業者，幾乎所有業者都立即回應，一些廠商啟動金鑰的輪換（rotate）、另一些則證實至少一半曝光的用戶憑證是有效的。還有業者提供了抓漏獎金。

針對開發人員，安全廠商建議採用安全防護措施，包括建立金鑰、權杖等憑證的輪換政策、金鑰及權杖皆使用最小權限、定期掃瞄CI/CD環境的安全設定、也不要將密碼或權杖、金鑰資料明文儲存在log中。