Никхил Миттал провел на конференции Black Hat Europe презентацию, посвященную уязвимостям инструментов непрерывной интеграции (continuous integration, CI), — систем автоматической сборки программных проектов по расписанию. Если взломщики получат доступ к мастер-серверу такой системы, они смогут не только похитить код, но и выполнять команды на зависимых машинах, осуществляющих сборку, отметил исследователь.
И по его словам, при всех проводившихся им испытаниях проникновение в систему CI позволяло получить административный доступ ко всему ее сетевому домену из-за незащищенности установленных по умолчанию конфигураций CI-инструментов.
Миттал проверил CI-средства с открытым кодом Jenkins, CruiseControl and Go, а также проприетарные TeamCity и Hudson — у всех выявлены уязвимые конфигурации и функции, которые можно использовать для взлома. Он продемонстрировал ряд атак, позволяющих выполнять на взломанных системах команды, а также красть базы, верительные данные Git, ключи SSH и не только. Исследователь обнаружил, что многие CI-серверы напрямую доступны через Интернет и даже не требуют аутентификации. По его оценкам, как минимум у половины компаний разработки ПО подобные сервисы экспонированы вовне.