হাজার হাজার ওপেন সোর্স প্রকল্পের শংসাপত্র বিনামূল্যে নেওয়ার জন্য—আবার!

হাজার হাজার ওপেন সোর্স প্রকল্পের শংসাপত্র বিনামূল্যে নেওয়ার জন্য—আবার!

গেটি ইমেজ

একটি পরিষেবা যা ওপেন সোর্স বিকাশকারীদের সফ্টওয়্যার লিখতে এবং পরীক্ষা করতে সহায়তা করে হাজার হাজার প্রমাণীকরণ টোকেন এবং অন্যান্য সুরক্ষা-সংবেদনশীল গোপনীয়তা ফাঁস করছে৷ এই ফাঁসগুলির মধ্যে অনেকগুলি হ্যাকারদের Github, Docker, AWS এবং অন্যান্য কোড সংগ্রহস্থলগুলিতে বিকাশকারীদের ব্যক্তিগত অ্যাকাউন্ট অ্যাক্সেস করার অনুমতি দেয়, নিরাপত্তা বিশেষজ্ঞরা একটি নতুন প্রতিবেদনে বলেছেন।

Travis CI থেকে তৃতীয় পক্ষের বিকাশকারী শংসাপত্রের প্রাপ্যতা কমপক্ষে 2015 সাল থেকে একটি চলমান সমস্যা। সেই সময়ে, নিরাপত্তা দুর্বলতা পরিষেবা HackerOne রিপোর্ট করেছিল যে এটি ব্যবহার করা একটি Github অ্যাকাউন্টের সাথে আপস করা হয়েছিল যখন পরিষেবাটি একটির জন্য একটি অ্যাক্সেস টোকেন প্রকাশ করেছিল হ্যাকারওয়ান ডেভেলপার। একটি অনুরূপ ফাঁস আবার 2019 এবং আবার গত বছর নিজেকে উপস্থাপন করেছে।

টোকেনগুলি তাদের অ্যাক্সেস সহ যেকোনও ব্যক্তিকে সংগ্রহস্থলগুলিতে সঞ্চিত কোড পড়তে বা সংশোধন করার ক্ষমতা দেয় যা চলমান সফ্টওয়্যার অ্যাপ্লিকেশন এবং কোড লাইব্রেরিগুলির একটি অগণিত সংখ্যক বিতরণ করে। এই ধরনের প্রকল্পগুলিতে অননুমোদিত অ্যাক্সেস লাভ করার ক্ষমতা সরবরাহ চেইন আক্রমণের সম্ভাবনা উন্মুক্ত করে, যেখানে হুমকি অভিনেতারা ব্যবহারকারীদের কাছে বিতরণ করার আগে ম্যালওয়্যারকে টেম্পার করে। আক্রমণকারীরা প্রোডাকশন সার্ভারে অ্যাপের উপর নির্ভর করে এমন বিপুল সংখ্যক প্রজেক্টকে লক্ষ্য করে অ্যাপের সাথে টেম্পার করার ক্ষমতা ব্যবহার করতে পারে।

এটি একটি পরিচিত নিরাপত্তা উদ্বেগ হওয়া সত্ত্বেও, ফাঁস অব্যাহত রয়েছে, অ্যাকোয়া সিকিউরিটি ফার্মের নটিলাস দলের গবেষকরা রিপোর্ট করছেন। ট্রাভিস সিআই প্রোগ্রামিং ইন্টারফেস ব্যবহার করে গবেষকরা 2013 থেকে মে 2022 পর্যন্ত 4.28 মিলিয়ন এবং 770 মিলিয়ন লগ ব্যবহার করেছেন। এবং বিভিন্ন শংসাপত্র।

“এই অ্যাক্সেস কী এবং শংসাপত্রগুলি GitHub, AWS, এবং Docker Hub সহ জনপ্রিয় ক্লাউড পরিষেবা প্রদানকারীদের সাথে যুক্ত,” অ্যাকোয়া সিকিউরিটি বলেছে৷ “আক্রমণকারীরা এই সংবেদনশীল ডেটাটি ব্যাপক সাইবার আক্রমণ শুরু করতে এবং ক্লাউডে পার্শ্ববর্তীভাবে সরানোর জন্য ব্যবহার করতে পারে। যে কেউ ট্র্যাভিস সিআই ব্যবহার করেছেন তারা সম্ভাব্যভাবে উন্মুক্ত, তাই আমরা অবিলম্বে আপনার কীগুলি ঘোরানোর পরামর্শ দিই।”

Travis CI ক্রমাগত একীকরণ নামে পরিচিত একটি ক্রমবর্ধমান সাধারণ অনুশীলন প্রদানকারী। প্রায়ই CI হিসাবে সংক্ষিপ্ত করা হয়, এটি প্রতিশ্রুতিবদ্ধ প্রতিটি কোড পরিবর্তন তৈরি এবং পরীক্ষা করার প্রক্রিয়াটিকে স্বয়ংক্রিয় করে। প্রতিটি পরিবর্তনের জন্য, কোডটি নিয়মিতভাবে নির্মিত, পরীক্ষিত এবং একটি শেয়ার্ড রিপোজিটরিতে মার্জ করা হয়। অ্যাক্সেসের স্তরের প্রেক্ষিতে CI সঠিকভাবে কাজ করতে হবে, পরিবেশগুলি সাধারণত অ্যাক্সেস টোকেন এবং অন্যান্য গোপনীয়তা সংরক্ষণ করে যা ক্লাউড অ্যাকাউন্টের ভিতরে সংবেদনশীল অংশগুলিতে বিশেষ সুবিধাপ্রাপ্ত অ্যাক্সেস প্রদান করে।

অ্যাকোয়া সিকিউরিটি দ্বারা পাওয়া অ্যাক্সেস টোকেনগুলি Github, AWS, এবং Docker সহ বিস্তৃত সংগ্রহস্থলের ব্যক্তিগত অ্যাকাউন্ট জড়িত।

অ্যাকোয়া সিকিউরিটি

এক্সপোজ টোকেনগুলির উদাহরণগুলির মধ্যে রয়েছে:

  • GitHub-এ অ্যাক্সেস টোকেন যা কোড রিপোজিটরিগুলিতে বিশেষাধিকারপ্রাপ্ত অ্যাক্সেসের অনুমতি দিতে পারে
  • AWS অ্যাক্সেস কী
  • শংসাপত্রের সেট, সাধারণত একটি ইমেল বা ব্যবহারকারীর নাম এবং পাসওয়ার্ড, যা MySQL এবং PostgreSQL এর মতো ডেটাবেসে অ্যাক্সেসের অনুমতি দেয়
  • ডকার হাব পাসওয়ার্ড, এমএফএ (মাল্টি-ফ্যাক্টর প্রমাণীকরণ) সক্রিয় না হলে অ্যাকাউন্ট টেকওভার হতে পারে

নিম্নলিখিত গ্রাফটি ভাঙ্গন দেখায়:

অ্যাকোয়া সিকিউরিটি

কোড ক্লাইমেটের একজন প্রতিনিধি, উপরের চার্টে দেখানো পরিষেবা, বলেছেন অ্যাকোয়া সিকিউরিটি দ্বারা পাওয়া শংসাপত্রগুলি হ্যাকারদের অননুমোদিত অ্যাক্সেস প্রদান করে না। “এগুলি হল টেস্ট কভারেজ টোকেন, কোড ক্লাইমেট এর কোয়ালিটি প্রোডাক্টের টেস্ট কভারেজ রিপোর্ট করতে ব্যবহৃত হয়,” প্রতিনিধি বলেছেন। “এই পোস্টে উল্লিখিত অন্যান্য টোকেনগুলির বিপরীতে, এই টোকেনগুলিকে গোপন হিসাবে বিবেচনা করা হয় না, এবং কোনও ডেটা অ্যাক্সেস করতে ব্যবহার করা যাবে না।”

অ্যাকোয়া নিরাপত্তা গবেষকরা যোগ করেছেন:

আমরা হাজার হাজার GitHub OAuth টোকেন খুঁজে পেয়েছি। এটা অনুমান করা নিরাপদ যে তাদের মধ্যে অন্তত 10-20% লাইভ। বিশেষ করে যেগুলো সাম্প্রতিক লগে পাওয়া গেছে। আমরা আমাদের ক্লাউড ল্যাবে একটি পার্শ্বীয় আন্দোলনের দৃশ্যের অনুকরণ করেছি, যা এই প্রাথমিক অ্যাক্সেসের দৃশ্যের উপর ভিত্তি করে:

1. উন্মুক্ত ট্র্যাভিস সিআই লগের মাধ্যমে একটি GitHub OAuth টোকেন নিষ্কাশন।

2. উন্মুক্ত টোকেন ব্যবহার করে ব্যক্তিগত কোড রিপোজিটরিতে সংবেদনশীল ডেটা (যেমন, AWS অ্যাক্সেস কী) আবিষ্কার করা।

3. AWS S3 বালতি পরিষেবাতে AWS অ্যাক্সেস কীগুলির সাথে পার্শ্বীয় আন্দোলনের প্রচেষ্টা।

4. বালতি গণনার মাধ্যমে ক্লাউড স্টোরেজ অবজেক্ট আবিষ্কার।

5. টার্গেটের S3 থেকে আক্রমণকারীর S3 পর্যন্ত ডেটা এক্সফিল্ট্রেশন।

অ্যাকোয়া সিকিউরিটি

ট্র্যাভিস সিআই প্রতিনিধিরা অবিলম্বে এই পোস্টের জন্য মন্তব্য চেয়ে একটি ইমেলের প্রতিক্রিয়া জানায়নি। এই এক্সপোজারের পুনরাবৃত্ত প্রকৃতির পরিপ্রেক্ষিতে, বিকাশকারীদের নিয়মিতভাবে অ্যাক্সেস টোকেন এবং অন্যান্য শংসাপত্রগুলিকে সক্রিয়ভাবে ঘোরানো উচিত। তাদের অবশ্যই নিয়মিত তাদের কোড আর্টিফ্যাক্টগুলি স্ক্যান করা উচিত যাতে তারা শংসাপত্র ধারণ না করে। Aqua Security এর পোস্টে অতিরিক্ত পরামর্শ রয়েছে।

কোড জলবায়ু থেকে মন্তব্য যোগ করার জন্য পোস্ট আপডেট করা হয়েছে.