„HashiCorp“, garsi įmonė, kurianti atvirus įrankių rinkinius, tokius kaip „Vagrant“, „Packer“, „Nomad“ ir „Terraform“, išleistas prieš kelias dienas naujienos apie skaitmeninio parašo sukūrimui naudojamo uždaro GPG rakto nutekėjimas kuris tikrina jūsų programinės įrangos versijas.
Jūsų įraše komentaras, kad užpuolikai, kurie gavo prieigą prie GPG rakto kurie gali padaryti paslėptus „HashiCorp“ produktų pakeitimus, patvirtindami juos teisingu skaitmeniniu parašu. Tuo pačiu metu bendrovė teigė, kad audito metu bandymų atlikti tokias modifikacijas pėdsakų nerasta.
Jie mini, kad tuo metu, kai aptiko pažeistą GPG raktą, jis buvo atšauktas o po to vietoje jo buvo įvestas naujas raktas.
Ši problema turėjo įtakos tik patikrinimui naudojant SHA256SUM ir SHA256SUM.sig failus ir neturėjo įtakos „Linux DEB“ ir RPM paketų skaitmeninių parašų generavimui, pristatomiems per „releases.hashicorp.com“ svetainę, taip pat „MacOS“ ir „Windows“ išleidimo patvirtinimo mechanizmams. (AuthentiCode).
15 m. Balandžio 2021 d. „Codecov“ (kodų apsidraudimo sprendimas) viešai paskelbė saugumo įvykį, kurio metu neteisėta šalis galėjo atlikti „Codecov“ komponento modifikacijas, kurias „Codecov“ klientai atsisiuntė ir paleido naudodamiesi sprendimu.
Šie pakeitimai leido neįgaliotai šaliai potencialiai eksportuoti informaciją, saugomą „Codecov“ vartotojų nuolatinės integracijos (PI) aplinkose. Codecovas atskleidė, kad neteisėta prieiga prasidėjo 31 m. Sausio 2021 d. Ir buvo nustatyta / ištaisyta 1 m. Balandžio 2021 d.
Nutekėjimas įvyko dėl „Codecov Bash Uploader“ scenarijaus naudojimo (codecov-bash) infrastruktūroje, skirtoje atsisiųsti aprėpties ataskaitas iš nuolatinės integracijos sistemų. Atakos metu „Codecov“ kompanijai nurodytame scenarijuje buvo paslėpta įdėta galinė duris Per tai buvo organizuojamas slaptažodžių ir šifravimo raktų siuntimas kenkėjiškam serveriui.
Norėdami įsilaužti į Codecovo infrastruktūrą, lUžpuolikai panaudojo „Docker“ vaizdo kūrimo klaidą, ką leido jiems išgauti duomenis norint pasiekti GCS („Google Cloud Storage“) reikalinga norint pakeisti „Bash Uploader“ scenarijų, platinamą iš svetainės codecov.io.
Pakeitimai buvo padaryti sausio 31 d., Du mėnesiai liko nepastebėti ir leido užpuolikams išgauti informaciją, saugomą nuolatinio kliento integravimo sistemų aplinkoje. Turėdami pridėtą kenkėjišką kodą, užpuolikai galėjo gauti informacijos apie išbandytą „Git“ saugyklą ir visus aplinkos kintamuosius, įskaitant žetonus, šifravimo raktus ir slaptažodžius, perduotus nuolatinei integravimo sistemoms, kad būtų suteikta prieiga prie programos kodo., Saugyklų ir paslaugų, tokių kaip „Amazon Web“. Paslaugos ir „GitHub“.
„HashiCorp“ paveikė saugumo incidentas su trečiąja šalimi (Codecov), dėl kurio buvo galima atskleisti konfidencialią informaciją. Todėl GPG raktas, naudojamas versijai pasirašyti ir patikrinti, buvo pasuktas. Klientams, tikrinantiems „HashiCorp“ versijos parašus, gali reikėti atnaujinti procesą, kad galėtų naudoti naują raktą.
Nors tyrimas neatskleidė įrodymų apie neteisėtą atviro GPG rakto naudojimą, jis buvo pasuktas, kad būtų išlaikytas patikimas parašo mechanizmas.
Be tiesioginio iškvietimo, „Codecov Bash Uploader“ scenarijus buvo naudojamas kaip dalis kitų atsisiuntėjų, tokių kaip „Codecov-action“ („Github“), „Codecov-circleci-orb“ ir „Codecov-bitrise-step“, kurių vartotojai taip pat yra paveikti.
Pagaliau rekomendacija teikiama visiems vartotojams iš codecov-bash ir susijusių produktų patikrinti jų infrastruktūrą ir pakeisti slaptažodžius bei šifravimo raktus.
Taip pat „HashiCorp“ išleido „Terraform“ pleistro versijas ir susijusius įrankius, kurie atnaujina automatinio patvirtinimo kodą, kad būtų naudojamas naujas ir pateiktas GPG raktas vadovas atskirtas būdingas „Terraform“.
Jei norite apie tai sužinoti daugiau, išsamią informaciją galite patikrinti nuėję į šią nuorodą.