威胁者利用 Bitbucket Artifacts 以纯文本形式泄露 AWS 机密

研究人员发现，Atlassian 的 Bitbucket 代码存储库工具中存在一个缺陷，威胁行为者可以通过使用在 Bitbucket 工件中以明文形式泄露的身份验证机密来成功破坏 AWS 帐户。

Bitbucket 提供了一种存储变量的方法，允许开发人员在编写代码时快速引用它们。管理员还可以将变量设置为 Bitbucket Pipelines 中的“安全”，以防止其值以纯文本形式被读取。

然而，该系统中最近发现的缺陷可能会导致管道运行期间生成的工件对象以明文格式公开这些受保护的变量。

BitBucket Artifacts 包含明文秘密
Bitbucket Pipelines CI/CD 服务集成在 Bitbucket 中，使用工件对象来存储变量、文件和目录，以便在构建和测试过程的后续阶段使用。 Bitbucket 的“安全变量”功能据称可以安全地存储AWS 密钥等敏感信息，因为它们在 Bitbucket 环境中进行了加密，从而防止直接访问和记录其值。

开发人员使用 printenv 命令将所有环境变量（包括安全变量）存储在文本文件中，然后将其包含在工件对象中。

然而，Mandiant 的研究人员发现，该系统的一个严重缺陷导致管道运行期间生成的工件对象以明文形式包含这些受保护的变量。由于开发人员不知道这些机密在工件文件中暴露，他们可能会无意中导致机密值被推送到公共存储库，威胁行为者可以从中窃取它们。

研究人员表示，威胁行为者只需打开文本文件即可查看纯文本中的敏感变量，轻松窃取可用于窃取数据或执行其他恶意活动的身份验证机密。

研究人员指出，开发团队在 Web 应用程序源代码中使用 Bitbucket 工件进行故障排除，在不知不觉中暴露了密钥的明文值。这导致这些密钥在公共互联网上暴露，攻击者可以利用它们进行未经授权的访问。

研究人员分享复制 BitBucket 漏洞的指南
研究人员分享了在 Bitbucket 环境中重现秘密泄露的分步说明，作为漏洞的证据。这些步骤包括定义安全变量、更新 bitbucket-pipelines.yml 文件以创建环境工件，以及下载和访问该工件以查看公开的秘密。

研究人员分享了以下保护 BitBucket Pipeline 机密的建议：

• 将机密存储在专用的机密管理器中，然后在存储在 Bitbucket 存储库中的代码中引用这些变量。
• 仔细检查 Bitbucket 工件对象，以确保它们不会将秘密泄露为纯文本文件。
• 在管道的整个生命周期内部署代码扫描，以便在将代码部署到生产之前捕获存储在代码中的机密。

然而，研究人员表示，这些发现并不是对 BitBucket 的控诉，而是对看似无害的行为如何迅速发展成严重安全问题的观察。