HashiCorp, 一家著名的开放式工具包开发公司,例如Vagrant,Packer,Nomad和Terraform,几天前发布 有关的新闻 用于创建数字签名的封闭GPG密钥泄漏 会检查您的软件版本。
在您的帖子中 评论说获得了GPG密钥访问权限的攻击者 通过使用正确的数字签名对产品进行认证,可能会对HashiCorp产品进行隐式更改。 同时,该公司表示,在审计过程中未发现尝试进行此类修改的痕迹。
他们提到,一旦他们检测到损坏的GPG密钥,便将其撤销。 之后又引入了新的密钥。
该问题仅影响使用SHA256SUM和SHA256SUM.sig文件的验证,并不影响通过“ releases.hashicorp.com”网站交付的Linux DEB和RPM软件包的数字签名的生成,以及macOS和Windows的发行确认机制(AuthentiCode)。
15年2021月XNUMX日,Codecov(一种代码对冲解决方案)公开披露了一个安全事件,在此事件中,未经授权的一方能够对Codecov组件进行修改,Codecov客户可以使用该解决方案下载并运行该组件。
这些修改允许未授权方潜在地导出存储在Codecov用户的连续集成(CI)环境中的信息。 Codecov透露,未经授权的访问于31年2021月1日开始,并于2021年XNUMX月XNUMX日被发现/纠正。
发生泄漏是由于使用了Codecov Bash Uploader脚本 基础架构中的(codecov-bash),旨在从持续集成系统下载覆盖率报告。 在袭击中 到Codecov公司 指定脚本中隐藏了嵌入式后门 通过这种方式组织了向恶意服务器发送密码和加密密钥的操作。
要破解Codecov的基础架构,攻击者利用了Docker映像创建过程中的错误什么 允许他们提取数据以访问GCS (Google Cloud Storage)来更改从codecov.io网站分发的Bash Uploader脚本。
31月XNUMX日进行了更改,两个月都没有引起注意 并允许攻击者提取存储在客户的持续集成系统环境中的信息。 使用添加的恶意代码,攻击者可以获得有关经过测试的Git存储库和所有环境变量的信息,包括令牌,加密密钥和密码,这些变量传递给持续集成系统以提供对应用程序代码,存储库和服务的访问(如Amazon Web)。 服务和GitHub。
HashiCorp受到与第三方(Codecov)发生的安全事件的影响,该事件导致可能泄露机密信息。 结果,用于版本签名和验证的GPG密钥已被旋转。 验证HashiCorp版本签名的客户可能需要更新其过程以使用新密钥。
尽管调查发现没有证据表明有人擅自使用了暴露的GPG密钥,但已对其进行了旋转以维护可靠的签名机制。
除了直接调用外,Codecov Bash Uploader脚本还用作其他下载程序的一部分,例如Codecov-action(Github),Codecov-circleci-orb和Codecov-bitrise-step,它们的用户也受到此问题的影响。
最后 推荐给所有用户 来自codecov-bash和相关产品 对其基础结构进行审核,并更改密码和加密密钥。
还 HashiCorp已发布Terraform的修补程序版本 以及用于更新自动验证代码以使用新GPG密钥的相关工具,并提供了 指导 分开 特定于地形。
如果您想了解更多,您可以通过以下方式查看详细信息: 到以下链接。