Κακόβουλοι παράγοντες βρέθηκαν να παραβιάζουν λογαριασμούς AWS, χρησιμοποιώντας μυστικά ελέγχου ταυτότητας που διέρρευσαν ως απλό κείμενο από αρχεία artifact του Atlassian Bitbucket.
See also: Το GitHub προειδοποιεί για ελάττωμα auth bypass SAML
Το ζήτημα ανακαλύφθηκε από την Mandiant, η οποία ερευνούσε μια πρόσφατη έκθεση μυστικών υπηρεσιών Web της Amazon (AWS) που χρησιμοποιούσαν οι φορείς απειλών για να αποκτήσουν πρόσβαση στο AWS.
Αν και το ζήτημα ανακαλύφθηκε στο πλαίσιο μιας έρευνας, δείχνει πώς data που προηγουμένως θεωρούνταν ασφαλή, μπορούν να διαρρεύσουν σε απλό κείμενο από δημόσια αποθετήρια.
Οι ασφαλείς μεταβλητές του BitBucket
Το Bitbucket είναι ένα συμβατό με το Git αποθετήριο ελέγχου εκδόσεων και υπηρεσία φιλοξενίας, που λειτουργεί από την Atlassian, προσφέροντας στους developers μια πλατφόρμα διαχείρισης κώδικα και συνεργασίας.
Το Bitbucket Pipelines είναι μια ολοκληρωμένη υπηρεσία συνεχούς παράδοσης/ανάπτυξης (CI/CD) που αυτοματοποιεί τις διαδικασίες κατασκευής, δοκιμής και ανάπτυξης. Οι administrators συστήματος συχνά συνδέουν το Pipelines απευθείας με το AWS για γρήγορη ανάπτυξη εφαρμογών και για Accessed at σε πόρους χρησιμοποιώντας AWS CLI, SDK και άλλα εργαλεία AWS.
See also: Χάκερς εκμεταλλεύονται GitHub και FileZilla για να διαδώσουν Cocktail malware
Για τη διευκόλυνση αυτού του αυτοματισμού, το Bitbucket επιτρέπει στους προγραμματιστές να αποθηκεύουν sensitive information, όπως μυστικά ελέγχου ταυτότητας AWS, σε «Ασφαλείς μεταβλητές» για να χρησιμοποιούν εύκολα αυτές τις μεταβλητές στον κώδικά τους, χωρίς να εκθέτουν τα κλειδιά σε άλλα άτομα.
Όταν μια μεταβλητή ορίζεται ως ασφαλής στο BitBucket, αποθηκεύεται σε κρυπτογραφημένη μορφή για να αποτραπεί η δημόσια έκθεση των τιμών της στο περιβάλλον Bitbucket.
“Μπορείτε να ασφαλίσετε μια μεταβλητή, πράγμα που σημαίνει ότι μπορεί να χρησιμοποιηθεί στα σενάρια σας, αλλά η τιμή της θα είναι κρυμμένη στα αρχεία καταγραφής κατασκευής“, εξηγεί η τεκμηρίωση του Bitbucket.
“Εάν θέλετε να επεξεργαστείτε μια ασφαλή μεταβλητή, μπορείτε να της δώσετε μόνο μια νέα τιμή ή να τη διαγράψετε. Οι ασφαλείς μεταβλητές αποθηκεύονται ως κρυπτογραφημένες τιμές.“
Ωστόσο, η Mandiant ανακάλυψε ότι τα αρχεία artifact που δημιουργούνται κατά τη διάρκεια εκτέλεσης αγωγών, μπορούν να περιέχουν sensitive information, συμπεριλαμβανομένων ασφαλισμένων μεταβλητών, σε απλό κείμενο. Καθώς οι προγραμματιστές μπορεί να μην γνωρίζουν ότι αυτά τα μυστικά εκτίθενται σε αρχεία τεχνουργημάτων, ο πηγαίος κώδικας μπορεί να δημοσιευτεί σε δημόσια αποθετήρια όπου οι φορείς απειλών μπορούν να τα κλέψουν.
See also: GitHub comments abused to promote malware
Μία από τις κύριες αιτίες διαρροής δεδομένων, όπως αυτή του αποθετηρίου Bitbucket, είναι τα ανθρώπινα λάθη. Οι υπάλληλοι μπορεί να κάνουν λάθη, όπως να στείλουν ευαίσθητες πληροφορίες σε λάθος παραλήπτη ή να πέσουν θύματα phishing επιθέσεων, παραχωρώντας έτσι πρόσβαση σε κακόβουλους χρήστες. Η ανεπαρκής ασφάλεια των συστημάτων πληροφορικής αποτελεί επίσης σημαντική αιτία διαρροής δεδομένων. Η έλλειψη ενημερώσεων και η χρήση παρωχημένων λογισμικών, μπορούν να αφήσουν τα συστήματα ευάλωτα σε attacks. Οι εσωτερικές απειλές, είτε από δυσαρεστημένους υπαλλήλους είτε από άτομα με κακόβουλες προθέσεις, μπορούν να οδηγήσουν σε διαρροή δεδομένων. Αυτοί οι χρήστες έχουν συχνά πρόσβαση σε ευαίσθητες πληροφορίες και μπορούν να τις διαρρεύσουν εσκεμμένα. Η χρήση μη ασφαλών δικτύων και συσκευών είναι μια άλλη αιτία διαρροής δεδομένων. Η σύνδεση σε δημόσια Wi-Fi δίκτυα χωρίς την κατάλληλη προστασία μπορεί να επιτρέψει σε κακόβουλους χρήστες να υποκλέψουν δεδομένα.
Source: bleepingcomputer
