Un codi maliciós en posa en perill la clau PGP de HashiCorp

HashiCorp, una reconeguda empresa pel desenvolupament de kits d'eines oberts com Vagrant, Packer, Nomad i Terraform, Va donar a conèixer fa ja diversos dies la notícia sobre una filtració de la clau GPG tancada utilitzada per crear la signatura digital que verifica les versions del seu programari.

En la seva publicació comenten que els atacants que van obtenir accés a la clau GPG amb la qual cosa podrien potencialment realitzar canvis ocults en els productes HashiCorp a l'certificar amb la signatura digital correcta. A el mateix temps, l'empresa va dir que durant l'auditoria no es van trobar rastres d'intents de fer aquestes modificacions.

Esmenten que en el moment en què van detectar la clau GPG compromesa aquesta va ser revocada i posterior a això es va realitzar la introducció d'una nova clau al seu lloc.

El problema només va afectar la verificació mitjançant arxius sha256sum i SHA256SUM.sig i no va afectar la generació de signatures digitals per paquets DEB i RPM de Linux subministrats a través del lloc web «releases.hashicorp.com», així com els mecanismes de confirmació de llançament per macOS i Windows (Authenticode).

El 15 d'abril de 2021, Codecov (una solució de cobertura de codi) va revelar públicament un esdeveniment de seguretat durant el qual una part no autoritzada va poder realitzar modificacions a un component de Codecov que els clients de Codecov descarreguen i executen a l'usar la solució.

Aquestes modificacions van permetre a la part no autoritzada exportar potencialment la informació emmagatzemada en els entorns d'integració contínua (CI) dels usuaris de Codecov. Codecov va revelar que l'accés no autoritzat començar el 31 de gener de 2021 i va ser identificat / remeiat l'1 d'abril de 2021.

La filtració es va produir a causa de l'ús de l'script Codecov Bash Uploader (Codecov-bash) en la infraestructura, dissenyat per descarregar informes de cobertura de sistemes d'integració contínua. Durant l'atac a l'empresa Codecov en l'script especificat es va amagar un backdoor incrustat a través de la qual es va organitzar l'enviament de contrasenyes i claus de xifrat a un servidor maliciós.

Per hackejar la infraestructura d'Codecov, lus atacants van aprofitar una errada en el procés de creació de la imatge de Docker, El que els va permetre extreure les dades per accedir a l'GCS (Google Cloud Storage) necessaris per realitzar canvis en l'script Bash Uploader distribuït des del lloc web codecov.io.

Els canvis es van realitzar el 31 de gener, dos mesos van passar desapercebuts i van permetre als atacants extreure informació emmagatzemada en els entorns dels sistemes d'integració contínua de client. Amb el codi maliciós agregat, els atacants podrien obtenir informació sobre el repositori de Git provat i totes les variables d'entorn, inclosos els tokens, les claus de xifrat i les contrasenyes passades als sistemes d'integració contínua per a proporcionar accés a el codi de l'aplicació , repositoris i serveis com Amazon Web. Serveis i GitHub.

HashiCorp es va veure afectat per un incident de seguretat amb un tercer (Codecov) que va portar a la possible divulgació d'informació confidencial. Com a resultat, s'ha rotat la clau GPG utilitzada per a la signatura i verificació de la versió. Els clients que verifiquen les firmes de versions de HashiCorp poden necessitar actualitzar el seu procés per a fer servir la nova clau.

Si bé la investigació no ha revelat evidència d'ús no autoritzat de la clau GPG exposada, s'ha rotat per mantenir un mecanisme de signatura fiable.

A més de la invocació directa, l'script Codecov Bash Uploader s'ha utilitzat com a part d'altres descarregadors com Codecov-action (Github), Codecov-circleci-orb i Codecov-bitrise-step, els usuaris també es veuen afectats pel problema.

Finalment es fa la recomanació a tots els usuaris de codecov-bash i productes relacionats que auditin les seves infraestructures i canviïn les contrasenyes i claus de xifrat.

A més HashiCorp ha publicat versions de pegats de Terraform i eines relacionades que actualitzen el codi de verificació automàtica per utilitzar la nova clau GPG i va brindar una guia separada específica d'Terraform.

Si vols conèixer més a l'respecte, Pots consultar els detalls dirigint-te a el següent enllaç.


Sigues el primer a comentar

Deixa el teu comentari

La seva adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats amb *

*

*

  1. Responsable de les dades: AB Internet Networks 2008 SL
  2. Finalitat de les dades: Controlar l'SPAM, gestió de comentaris.
  3. Legitimació: El teu consentiment
  4. Comunicació de les dades: No es comunicaran les dades a tercers excepte per obligació legal.
  5. Emmagatzematge de les dades: Base de dades allotjada en Occentus Networks (UE)
  6. Drets: En qualsevol moment pots limitar, recuperar i esborrar la teva informació.