Cyhoeddodd HashiCorp, sy'n adnabyddus am ddatblygu'r offer ffynhonnell agored Vagrant, Packer, Nomad a Terraform, ollwng yr allwedd GPG breifat a ddefnyddir i greu llofnodion digidol sy'n gwirio datganiadau. Gallai ymosodwyr a gafodd fynediad at yr allwedd GPG o bosibl wneud newidiadau cudd i gynhyrchion HashiCorp trwy eu gwirio Γ’ llofnod digidol cywir. Ar yr un pryd, dywedodd y cwmni na chanfuwyd unrhyw olion o ymdrechion i wneud addasiadau o'r fath yn ystod yr archwiliad.
Ar hyn o bryd, mae'r allwedd GPG dan fygythiad wedi'i dirymu ac mae allwedd newydd wedi'i chyflwyno yn ei lle. Effeithiodd y broblem ar ddilysu yn unig gan ddefnyddio'r ffeiliau SHA256SUM a SHA256SUM.sig, ac ni effeithiodd ar gynhyrchu llofnodion digidol ar gyfer pecynnau Linux DEB ac RPM a gyflenwir trwy release.hashicorp.com, yn ogystal Γ’ mecanweithiau dilysu rhyddhau ar gyfer macOS a Windows (AuthentiCode) .
Digwyddodd y gollyngiad oherwydd y defnydd o sgript Codecov Bash Uploader (codecov-bash) yn y seilwaith, a gynlluniwyd i lawrlwytho adroddiadau darpariaeth o systemau integreiddio parhaus. Yn ystod yr ymosodiad ar y cwmni Codecov, cuddiwyd drws cefn i'r sgript benodedig, a thrwy hynny anfonwyd cyfrineiriau ac allweddi amgryptio at weinydd yr ymosodwyr.
I hacio, manteisiodd yr ymosodwyr ar gamgymeriad yn y broses o greu delwedd Codecov Docker, a oedd yn caniatΓ‘u iddynt dynnu data mynediad i GCS (Google Cloud Storage), sy'n angenrheidiol i wneud newidiadau i'r sgript Bash Uploader a ddosbarthwyd o'r codecov.io gwefan. Gwnaethpwyd y newidiadau yn Γ΄l ar Ionawr 31, arhosodd heb eu canfod am ddau fis a chaniatΓ‘u i ymosodwyr dynnu gwybodaeth a storiwyd mewn amgylcheddau system integreiddio parhaus cwsmeriaid. Gan ddefnyddio'r cod maleisus ychwanegol, gallai ymosodwyr gael gwybodaeth am y storfa Git a brofwyd a'r holl newidynnau amgylcheddol, gan gynnwys tocynnau, allweddi amgryptio a chyfrineiriau a drosglwyddir i systemau integreiddio parhaus i drefnu mynediad i god cais, ystorfeydd a gwasanaethau fel Amazon Web Services a GitHub.
Yn ogystal Γ’'r alwad uniongyrchol, defnyddiwyd sgript Codecov Bash Uploader fel rhan o uwchlwythwyr eraill, megis Codecov-action (Github), Codecov-circleci-orb a Codecov-bitrise-step, y mae'r broblem hefyd yn effeithio ar eu defnyddwyr. Argymhellir bod holl ddefnyddwyr codecov-bash a chynhyrchion cysylltiedig yn archwilio eu seilweithiau, yn ogystal Γ’ newid cyfrineiriau ac allweddi amgryptio. Gallwch wirio am bresenoldeb drws cefn yn y sgript trwy bresenoldeb y llinell cyrl -sm 0.5 -d β$(git remote -v)/upload /v2 || gwir
Ffynhonnell: opennet.ru