ХашиКорп, известная компания по разработке открытых наборов инструментов, таких как Vagrant, Packer, Nomad и Terraform, выпущенный несколько дней назад новости о утечка закрытого ключа GPG, используемого для создания цифровой подписи который проверяет версии вашего программного обеспечения.
В вашем посте комментируют, что злоумышленники, получившие доступ к ключу GPG которые потенциально могут вносить скрытые изменения в продукты HashiCorp, удостоверяя их правильной цифровой подписью. При этом в компании заявили, что в ходе проверки следов попыток внесения таких доработок обнаружено не было.
Они упоминают, что в тот момент, когда они обнаружили скомпрометированный ключ GPG, он был отозван. и после этого на его место был введен новый ключ.
Проблема затрагивала только проверку с использованием файлов SHA256SUM и SHA256SUM.sig и не влияла на создание цифровых подписей для пакетов Linux DEB и RPM, доставляемых через веб-сайт «releases.hashicorp.com», а также на механизмы подтверждения выпуска для macOS и Windows. (AuthentiCode).
15 апреля 2021 года Codecov (решение для хеджирования кода) публично раскрыло событие безопасности, во время которого неавторизованная сторона смогла внести изменения в компонент Codecov, который клиенты Codecov загружают и запускают с помощью решения.
Эти модификации позволили неавторизованной стороне потенциально экспортировать информацию, хранящуюся в средах непрерывной интеграции (CI) пользователей Codecov. Codecov сообщил, что несанкционированный доступ начался 31 января 2021 года и был обнаружен / устранен 1 апреля 2021 года.
Утечка произошла из-за использования скрипта Codecov Bash Uploader. (codecov-bash) в инфраструктуре, предназначенной для загрузки отчетов о покрытии из систем непрерывной интеграции. Во время нападения компании Codecov встроенный бэкдор был скрыт в указанном скрипте посредством которого была организована отправка паролей и ключей шифрования на вредоносный сервер.
Чтобы взломать инфраструктуру Codecov, яЗлоумышленники воспользовались ошибкой в процессе создания образа Docker., что позволил им извлечь данные для доступа к GCS (Google Cloud Storage) требуется для внесения изменений в сценарий Bash Uploader, распространяемый с веб-сайта codecov.io.
Изменения были внесены 31 января, два месяца остались незамеченными. и позволял злоумышленникам извлекать информацию, хранящуюся в средах систем непрерывной интеграции заказчика. С помощью добавленного вредоносного кода злоумышленники могут получить информацию о протестированном репозитории Git и всех переменных среды, включая токены, ключи шифрования и пароли, передаваемые в системы непрерывной интеграции для обеспечения доступа к коду приложений, репозиториям и сервисам, таким как Amazon Web. Сервисы и GitHub.
HashiCorp пострадала в результате инцидента безопасности с третьей стороной (Codecov), который привел к возможному раскрытию конфиденциальной информации. В результате был изменен ключ GPG, используемый для подписи и проверки версии. Клиентам, которые проверяют подписи версий HashiCorp, возможно, потребуется обновить свой процесс, чтобы использовать новый ключ.
Хотя расследование не выявило никаких доказательств несанкционированного использования открытого ключа GPG, он был изменен для обеспечения надежного механизма подписи.
Помимо прямого вызова, сценарий Codecov Bash Uploader использовался как часть других загрузчиков, таких как Codecov-action (Github), Codecov-circleci-orb и Codecov-bitrise-step, пользователи которых также сталкиваются с проблемой.
В конце концов рекомендация дается всем пользователям из codecov-bash и сопутствующих продуктов проверяют свою инфраструктуру и меняют пароли и ключи шифрования.
Также HashiCorp выпустила патч-версии Terraform и сопутствующие инструменты, которые обновляют код автоматической проверки для использования нового ключа GPG и предоставляют руководство отдельный Специфичный для Terraform.
Если вы хотите узнать об этом больше, вы можете проверить подробности, перейдя по следующей ссылке.