HashiCorp, Vagrant, Packer, Nomad ve Terraform gibi açık araç takımlarının geliştirilmesi için tanınmış bir şirket, birkaç gün önce yayınlandı hakkında haberler dijital imzayı oluşturmak için kullanılan kapalı GPG anahtarının sızıntısı yazılımınızın sürümlerini kontrol eder.
Gönderinizde GPG anahtarına erişim sağlayan saldırganların Bu, potansiyel olarak HashiCorp ürünlerinde doğru dijital imzayı onaylayarak gizli değişiklikler yapabilir. Aynı zamanda şirket, denetim sırasında bu tür değişiklikler yapma girişimlerinin izine rastlanmadığını söyledi.
Ele geçirilmiş GPG anahtarını tespit ettikleri anda, anahtarın iptal edildiğini belirtiyorlar. ve ondan sonra yerine yeni bir anahtar tanıtıldı.
Sorun yalnızca SHA256SUM ve SHA256SUM.sig dosyalarını kullanan doğrulamayı etkiledi ve "releaseases.hashicorp.com" web sitesi aracılığıyla sağlanan Linux DEB ve RPM paketleri için dijital imzaların oluşturulmasının yanı sıra macOS ve Windows için sürüm onay mekanizmalarını etkilemedi (AuthentiCode).
15 Nisan 2021'de, Codecov (bir kod koruma çözümü), yetkisiz bir tarafın, Codecov müşterilerinin indirip bu çözümü kullanarak çalıştırdığı bir Codecov bileşeninde değişiklikler yapabildiği bir güvenlik olayını kamuya açıkladı.
Bu değişiklikler, yetkisiz tarafın Codecov kullanıcılarının sürekli entegrasyon (CI) ortamlarında depolanan bilgileri potansiyel olarak dışa aktarmasına izin verdi. Codecov, yetkisiz erişimin 31 Ocak 2021'de başladığını ve 1 Nisan 2021'de tespit edildiğini / düzeltildiğini açıkladı.
Sızıntı, Codecov Bash Yükleyici komut dosyasının kullanılması nedeniyle meydana geldi (codecov-bash) altyapıda, sürekli entegrasyon sistemlerinden kapsama raporlarını indirmek için tasarlanmıştır. Saldırı sırasında Codecov şirketine belirtilen komut dosyasında gömülü bir arka kapı gizlendi kötü niyetli bir sunucuya şifrelerin ve şifreleme anahtarlarının gönderilmesinin organize edildiği.
Codecov'un altyapısına girmek için, lSaldırganlar, Docker görüntüsü oluşturma sürecindeki bir hatayı istismar ettine GCS'ye erişmek için verileri çıkarmalarına izin verdi Codecov.io web sitesinden dağıtılan Bash Yükleyici komut dosyasında değişiklik yapmak için (Google Bulut Depolama) gereklidir.
31 Ocak'ta değişiklikler yapıldı, iki ay fark edilmedi ve saldırganların müşterinin sürekli entegrasyon sistemi ortamlarında depolanan bilgileri çıkarmasına izin verdi. Eklenen kötü amaçlı kod ile saldırganlar, test edilen Git deposu ve belirteçler, şifreleme anahtarları ve uygulama koduna, depolara ve Amazon Web gibi hizmetlere erişim sağlamak için sürekli entegrasyon sistemlerine aktarılan parolalar dahil olmak üzere tüm ortam değişkenleri hakkında bilgi edinebilir. Hizmetler ve GitHub.
HashiCorp, gizli bilgilerin olası ifşasına yol açan üçüncü bir tarafla (Codecov) meydana gelen bir güvenlik olayından etkilendi. Sonuç olarak, sürüm imzalama ve doğrulama için kullanılan GPG anahtarı döndürüldü. HashiCorp sürüm imzalarını doğrulayan müşterilerin yeni anahtarı kullanmak için işlemlerini güncellemeleri gerekebilir.
Soruşturma, açığa çıkan GPG anahtarının yetkisiz kullanımına dair hiçbir kanıt ortaya koymasa da, güvenilir bir imza mekanizmasını sürdürmek için değiştirildi.
Doğrudan çağırmaya ek olarak, Codecov Bash Yükleyici komut dosyası, kullanıcıları da sorundan etkilenen Codecov-action (Github), Codecov-circleci-orb ve Codecov-bitrise-step gibi diğer indiricilerin bir parçası olarak kullanılmıştır.
Nihayet tavsiye tüm kullanıcılara yapılır codecov-bash ve ilgili ürünlerden altyapılarının denetlenmesini ve şifreleri ve şifreleme anahtarlarını değiştirmesini sağlayın.
Ayrıca HashiCorp, Terraform'un yama sürümlerini yayınladı ve yeni GPG anahtarını kullanmak için otomatik doğrulama kodunu güncelleyen ve sağlanan ilgili araçlar bir rehber Ayrılık Terraform'a özel.
Onun hakkında daha fazla bilgi edinmek istiyorsanız, gidip ayrıntıları kontrol edebilirsiniz aşağıdaki bağlantıya.