HashiCorp, une entreprise renommée pour le développement de boîtes à outils ouvertes telles que Vagrant, Packer, Nomad et Terraform, sorti il y a plusieurs jours les nouvelles de une fuite de la clé GPG fermée utilisée pour créer la signature numérique qui vérifie les versions de votre logiciel.
Dans votre message commentez que les attaquants qui ont eu accès à la clé GPG qui pourrait potentiellement apporter des modifications cachées aux produits HashiCorp en les certifiant avec la signature numérique correcte. Dans le même temps, la société a déclaré qu'au cours de l'audit, aucune trace de tentatives visant à apporter de telles modifications n'a été trouvée.
Ils mentionnent qu'au moment où ils ont détecté la clé GPG compromise, elle a été révoquée et après cela, une nouvelle clé a été introduite à sa place.
Le problème n'a affecté que la vérification à l'aide des fichiers SHA256SUM et SHA256SUM.sig et n'a pas affecté la génération de signatures numériques pour les packages Linux DEB et RPM fournis via le site Web «releases.hashicorp.com», ainsi que les mécanismes de confirmation de publication pour macOS et Windows (AuthentiCode).
Le 15 avril 2021, Codecov (une solution de couverture de code) a divulgué publiquement un événement de sécurité au cours duquel une partie non autorisée a pu apporter des modifications à un composant Codecov que les clients de Codecov téléchargent et exécutent à l'aide de la solution.
Ces modifications ont permis à la partie non autorisée d'exporter potentiellement les informations stockées dans les environnements d'intégration continue (CI) des utilisateurs de Codecov. Codecov a révélé que l'accès non autorisé a commencé le 31 janvier 2021 et a été identifié / corrigé le 1er avril 2021.
La fuite s'est produite en raison de l'utilisation du script Codecov Bash Uploader (codecov-bash) dans l'infrastructure, conçu pour télécharger des rapports de couverture à partir de systèmes d'intégration continue. Pendant l'attaque à la société Codecov une porte dérobée intégrée a été masquée dans le script spécifié grâce auquel était organisé l'envoi de mots de passe et de clés de chiffrement à un serveur malveillant.
Pour pirater l'infrastructure de Codecov, lLes attaquants ont exploité un bogue dans le processus de création d'image Docker, Qui leur a permis d'extraire les données pour accéder au GCS (Google Cloud Storage) requis pour apporter des modifications au script Bash Uploader distribué à partir du site Web codecov.io.
Des modifications ont été apportées le 31 janvier, deux mois sont passés inaperçus et a permis aux attaquants d'extraire des informations stockées dans les environnements de systèmes d'intégration continue du client. Avec le code malveillant ajouté, les attaquants pourraient obtenir des informations sur le référentiel Git testé et toutes les variables d'environnement, y compris les jetons, les clés de chiffrement et les mots de passe transmis aux systèmes d'intégration continue pour fournir un accès au code d'application, aux référentiels et aux services tels qu'Amazon Web. Services et GitHub.
HashiCorp a été affecté par un incident de sécurité avec un tiers (Codecov) qui a conduit à la divulgation éventuelle d'informations confidentielles. Par conséquent, la clé GPG utilisée pour la signature et la vérification de version a été permutée. Les clients qui vérifient les signatures de version HashiCorp peuvent avoir besoin de mettre à jour leur processus pour utiliser la nouvelle clé.
Bien que l'enquête n'ait révélé aucune preuve d'utilisation non autorisée de la clé GPG exposée, elle a été tournée pour maintenir un mécanisme de signature fiable.
En plus de l'invocation directe, le script Codecov Bash Uploader a été utilisé dans le cadre d'autres téléchargeurs tels que Codecov-action (Github), Codecov-circleci-orb et Codecov-bitrise-step, dont les utilisateurs sont également affectés par le problème.
Enfin la recommandation est faite à tous les utilisateurs de codecov-bash et des produits connexes faire auditer leurs infrastructures et modifier les mots de passe et les clés de chiffrement.
Également HashiCorp a publié des versions correctives de Terraform et les outils associés qui mettent à jour le code de vérification automatique pour utiliser la nouvelle clé GPG et fournis un guide séparé Spécifique à Terraform.
Si vous voulez en savoir plus, vous pouvez vérifier les détails en allant vers le lien suivant.