하시코프, Vagrant, Packer, Nomad 및 Terraform과 같은 개방형 툴킷 개발로 유명한 회사, 며칠 전에 출시됨 에 관한 뉴스 디지털 서명을 만드는 데 사용 된 폐쇄 된 GPG 키의 유출 소프트웨어 버전을 확인합니다.
게시물에서 GPG 키에 대한 액세스 권한을 얻은 공격자는 올바른 디지털 서명으로 인증함으로써 HashiCorp 제품에 숨겨진 변경을 가할 수 있습니다. 동시에 회사는 감사 중에 그러한 수정을 시도한 흔적이 발견되지 않았다고 밝혔다.
그들은 손상된 GPG 키를 감지하는 순간 취소되었다고 언급합니다. 그 후 새 키가 그 자리에 도입되었습니다.
이 문제는 SHA256SUM 및 SHA256SUM.sig 파일을 사용한 확인에만 영향을 주며 "releases.hashicorp.com"웹 사이트를 통해 제공되는 Linux DEB 및 RPM 패키지의 디지털 서명 생성과 macOS 및 Windows의 릴리스 확인 메커니즘에는 영향을주지 않았습니다. (AuthentiCode).
15 년 2021 월 XNUMX 일 Codecov (코드 헤징 솔루션)는 권한이없는 당사자가 Codecov 고객이이 솔루션을 사용하여 다운로드하고 실행하는 Codecov 구성 요소를 수정할 수있는 보안 이벤트를 공개했습니다.
이러한 수정을 통해 권한이없는 당사자는 Codecov 사용자의 CI (지속적 통합) 환경에 저장된 정보를 잠재적으로 내보낼 수 있습니다. Codecov는 무단 액세스가 31 년 2021 월 1 일에 시작되었고 2021 년 XNUMX 월 XNUMX 일에 확인 / 해결되었다고 밝혔다.
Codecov Bash Uploader 스크립트 사용으로 인해 누출이 발생했습니다. (codecov-bash)는 지속적인 통합 시스템에서 커버리지 보고서를 다운로드하도록 설계되었습니다. 공격 중 Codecov 회사에 포함 된 백도어가 지정된 스크립트에 숨겨져 있습니다. 이를 통해 악성 서버로의 암호 및 암호화 키 전송이 구성되었습니다.
Codecov의 인프라를 해킹하려면 l공격자는 Docker 이미지 생성 프로세스에서 버그를 악용했습니다., 뭐 GCS에 액세스하기 위해 데이터를 추출하도록 허용 (Google Cloud Storage)는 codecov.io 웹 사이트에서 배포 된 Bash 업 로더 스크립트를 변경하는 데 필요합니다.
31 월 XNUMX 일에 변경 사항이 있었지만 두 달이 눈에 띄지 않았습니다. 공격자가 고객의 지속적인 통합 시스템 환경에 저장된 정보를 추출 할 수 있도록했습니다. 추가 된 악성 코드를 통해 공격자는 테스트 된 Git 리포지토리에 대한 정보와 토큰, 암호화 키 및 지속적 통합 시스템에 전달 된 암호를 포함한 모든 환경 변수를 획득하여 Amazon Web과 같은 리포지토리 및 서비스에 대한 액세스를 제공 할 수 있습니다. 서비스 및 GitHub.
HashiCorp는 기밀 정보가 공개 될 수있는 제 XNUMX 자 (Codecov)의 보안 사고의 영향을 받았습니다. 결과적으로 버전 서명 및 확인에 사용되는 GPG 키가 교체되었습니다. HashiCorp 버전 서명을 확인하는 고객은 새 키를 사용하기 위해 프로세스를 업데이트해야 할 수 있습니다.
조사 결과 공개 된 GPG 키의 무단 사용에 대한 증거는 없지만 신뢰할 수있는 서명 메커니즘을 유지하기 위해 회전되었습니다.
직접 호출 외에도 Codecov Bash Uploader 스크립트는 Codecov-action (Github), Codecov-circleci-orb 및 Codecov-bitrise-step과 같은 다른 다운로더의 일부로 사용되었으며 사용자도 문제의 영향을받습니다.
최종적으로 모든 사용자에게 권장됩니다. codecov-bash 및 관련 제품에서 인프라를 감사하고 암호 및 암호화 키를 변경합니다.
또한 HashiCorp는 Terraform의 패치 버전을 출시했습니다. 및 새 GPG 키를 사용하기 위해 자동 인증 코드를 업데이트하고 제공하는 관련 도구 가이드 세 파라다 Terraform 특정.
그것에 대해 더 알고 싶다면, 당신은 이동하여 세부 사항을 확인할 수 있습니다 다음 링크에.