La plataforma Travis CI ha parcheado una vulnerabilidad que exponía claves API y tokens de acceso, poniendo en riesgo a cientos de organizaciones.
Travis CI es una plataforma de CI/CD (Integración Continua/Despliegue Continuo). Se utiliza para compilar y hacer «testing de software» a proyectos de alojados en repositorios como GitHub o Bitbucket; y cuenta con más de 600.000 usuarios y 900.000 proyectos de código abierto.
La vulnerabilidad, que cuenta con el identificador CVE-2021-41077, se detectó gracias a Felix Lange de Ethereum. Este problema se habría dado entre el 3 y el 10 de septiembre. La descripción del fallo es la siguiente:
El comportamiento esperado, si .travis.yml se ha creado localmente por un cliente y después se ha añadido a git, es que el servicio Travis ejecute la compilación de manera que se restrinja el acceso público a las credenciales específicas de los clientes como claves de firma, credenciales de acceso y tokens de API. Sin embargo; durante este intervalo de 8 días, un usuario no autorizado podía acceder a la información tras hacer un fork de un repositorio imprimiendo el contenido de dichos ficheros en el proceso de compilación.
Lange y otros empleados de Ethereum como Peter Szilágyi criticaron la forma de gestionar esta vulnerabilidad por parte de Travis CI. Desde la plataforma no han publicado ningún análisis, informe de seguridad o han advertido a sus usuarios de que sus credenciales podrían haber sido filtradas.
Este incidente recuerda al que sufrió hace unos meses la plataforma Codecov, poniendo de manifiesto una vez más la importancia de cuidar la seguridad en todos los procesos implicados en el desarrollo de software. Desde Hispasec Sistemas recomendamos actualizar todas las credenciales que hayan podido estar expuestas en la plataforma Travis CI para prevenir accesos no autorizados.
Más información:
Travis CI flaw exposed secrets of thousands of open source projects
Deja una respuesta