HashiCorp, renomovaná spoločnosť pre vývoj otvorených nástrojov ako Vagrant, Packer, Nomad a Terraform, vydané pred niekoľkými dňami správy o únik uzavretého kľúča GPG použitého na vytvorenie digitálneho podpisu ktorá kontroluje verzie vášho softvéru.
Vo vašom príspevku komentár, že útočníci, ktorí získali prístup ku kľúču GPG ktoré by potenciálne mohli urobiť skryté zmeny v produktoch HashiCorp ich certifikáciou so správnym digitálnym podpisom. Spoločnosť zároveň uviedla, že počas auditu sa nenašli stopy po pokusoch o takéto úpravy.
Spomínajú, že v okamihu, keď zistili napadnutý kľúč GPG, bol odvolaný a potom bol na jeho miesto zavedený nový kľúč.
Problém sa týkal iba overovania pomocou súborov SHA256SUM a SHA256SUM.sig a nemal vplyv na generovanie digitálnych podpisov pre balíčky DEB a RPM pre Linux dodávaných prostredníctvom webu „releases.hashicorp.com“, ako aj na mechanizmy potvrdzovania vydania pre macOS a Windows. (AuthentiCode).
15. apríla 2021 spoločnosť Codecov (riešenie na zabezpečenie kódu) verejne zverejnila bezpečnostnú udalosť, počas ktorej mohla neoprávnená strana vykonať úpravy v súčasti Codecov, ktorú si zákazníci spoločnosti Codecov stiahli a spustili pomocou tohto riešenia.
Tieto úpravy umožnili neoprávnenej strane potenciálne exportovať informácie uložené v prostrediach nepretržitej integrácie (CI) používateľov Codecov. Codecov odhalil, že neoprávnený prístup sa začal 31. januára 2021 a bol identifikovaný / napravený 1. apríla 2021.
K úniku došlo v dôsledku použitia skriptu Codecov Bash Uploader (codecov-bash) v infraštruktúre, určený na stiahnutie správ o pokrytí zo systémov nepretržitej integrácie. Počas útoku spoločnosti Codecov vložený backdoor bol skrytý v uvedenom skripte Prostredníctvom ktorého sa organizovalo odosielanie hesiel a šifrovacích kľúčov na škodlivý server.
Aby sme sa nabúrali do Codecovovej infraštruktúry, lÚtočníci využili chybu v procese vytvárania obrazu Docker, čo im umožnilo získať údaje na prístup do GCS (Google Cloud Storage) požadovaný na vykonanie zmien v skripte Bash Uploader distribuovanom z webovej stránky codecov.io.
Zmeny boli urobené 31. januára, dva mesiace zostali nepovšimnuté a umožnilo útočníkom extrahovať informácie uložené v prostrediach systémov nepretržitej integrácie zákazníka. S pridaným škodlivým kódom mohli útočníci získať informácie o testovanom úložisku Git a všetkých premenných prostredia, vrátane tokenov, šifrovacích kľúčov a hesiel odovzdaných do systémov nepretržitej integrácie, aby im poskytli prístup k aplikačnému kódu., Úložiskám a službám, ako je Amazon Web. Služby a GitHub.
Spoločnosť HashiCorp zasiahol bezpečnostný incident s treťou stranou (Codecov), ktorý viedol k možnému zverejneniu dôverných informácií. Vo výsledku bol otočený kľúč GPG používaný na podpisovanie a overovanie verzií. Zákazníci, ktorí overujú podpisy verzie HashiCorp, možno budú musieť aktualizovať svoj proces, aby mohli používať nový kľúč.
Zatiaľ čo vyšetrovanie neodhalilo nijaké dôkazy o neoprávnenom použití odhaleného kľúča GPG, pre zachovanie spoľahlivého podpisového mechanizmu bolo jeho používanie rotované.
Okrem priameho vyvolania sa skript Codecov Bash Uploader používal ako súčasť ďalších sťahovacích nástrojov, ako sú Codecov-action (Github), Codecov-circleci-orb a Codecov-bitrise-step, ktorých používateľov sa problém tiež týka.
Konečne odporúčanie sa dáva všetkým používateľom z codecov-bash a súvisiacich produktov nechať skontrolovať svoje infraštruktúry a zmeniť heslá a šifrovacie kľúče.
Tiež HashiCorp vydal patch verzie Terraformu a súvisiace nástroje, ktoré aktualizujú automatický verifikačný kód tak, aby používali nový kľúč GPG, a sú poskytované sprievodca oddelené špecifické pre Terraform.
Ak o tom chcete vedieť viac, môžete skontrolovať podrobnosti prechodom na nasledujúci odkaz.