Škodlivý kód ohrožuje klíč PGP společnosti HashiCorp

HashiCorp, renomovaná společnost pro vývoj otevřených sad nástrojů, jako jsou Vagrant, Packer, Nomad a Terraform, vydané před několika dny zprávy o únik uzavřeného klíče GPG použitého k vytvoření digitálního podpisu který kontroluje verze vašeho softwaru.

Ve vašem příspěvku poznamenat, že útočníci, kteří získali přístup ke klíči GPG které by mohly potenciálně provádět skryté změny v produktech HashiCorp jejich certifikací správným digitálním podpisem. Společnost zároveň uvedla, že během auditu nebyly nalezeny žádné stopy pokusů o provedení těchto úprav.

Zmínili, že v okamžiku, kdy zjistili napadený klíč GPG, byl zrušen a poté byl na jeho místo zaveden nový klíč.

Problém se týkal pouze ověřování pomocí souborů SHA256SUM a SHA256SUM.sig a neovlivnil generování digitálních podpisů pro balíčky DEB a RPM pro Linux dodávané prostřednictvím webu „releases.hashicorp.com“, stejně jako mechanismy potvrzení vydání pro macOS a Windows (AuthentiCode).

15. dubna 2021 společnost Codecov (řešení zajišťující kód) veřejně zveřejnila bezpečnostní událost, během které neoprávněná strana mohla provádět úpravy komponenty Codecov, kterou si zákazníci Codecov stáhli a spustili pomocí řešení.

Tyto úpravy umožnily neoprávněné straně potenciálně exportovat informace uložené v prostředích nepřetržité integrace (CI) uživatelů Codecov. Codecov odhalil, že neoprávněný přístup začal 31. ledna 2021 a byl identifikován / napraven 1. dubna 2021.

K úniku došlo v důsledku použití skriptu Codecov Bash Uploader (codecov-bash) v infrastruktuře, určené ke stahování zpráv o pokrytí ze systémů nepřetržité integrace. Během útoku společnosti Codecov v zadaném skriptu byla skryta vložená zadní vrátka Prostřednictvím kterého bylo organizováno zasílání hesel a šifrovacích klíčů na škodlivý server.

Chcete-li proniknout do infrastruktury Codecov, lÚtočníci využili chybu v procesu vytváření obrazu Dockeru, co jim umožnilo získat data pro přístup do GCS (Google Cloud Storage) nutné k provedení změn ve skriptu Bash Uploader distribuovaném z webu codecov.io.

Změny byly provedeny 31. ledna, dva měsíce zůstaly bez povšimnutí a umožnilo útočníkům extrahovat informace uložené v prostředích systémů nepřetržité integrace zákazníka. S přidaným škodlivým kódem mohli útočníci získat informace o testovaném úložišti Git a všech proměnných prostředí, včetně tokenů, šifrovacích klíčů a hesel předávaných do systémů nepřetržité integrace za účelem poskytnutí přístupu k aplikačnímu kódu., Úložišť a služeb, jako je Amazon Web. Služby a GitHub.

Společnost HashiCorp byla zasažena bezpečnostním incidentem s třetí stranou (Codecov), který vedl k možnému vyzrazení důvěrných informací. Ve výsledku byl otočen klíč GPG použitý pro podepisování a ověřování verzí. Zákazníci, kteří ověřují podpisy verzí HashiCorp, možná budou muset aktualizovat svůj proces, aby mohli používat nový klíč.

Zatímco vyšetřování neodhalilo žádné důkazy o neoprávněném použití odhaleného klíče GPG, bylo otočeno, aby byl zachován spolehlivý podpisový mechanismus.

Kromě přímého vyvolání byl skript Codecov Bash Uploader použit jako součást dalších stahovacích programů, jako jsou Codecov-action (Github), Codecov-circleci-orb a Codecov-bitrise-step, jejichž uživatelé jsou také tímto problémem ovlivněni.

Konečně doporučení se dává všem uživatelům z codecov-bash a souvisejících produktů nechat zkontrolovat jejich infrastrukturu a změnit hesla a šifrovací klíče.

Také HashiCorp vydal patch verze Terraformu a související nástroje, které aktualizují automatický ověřovací kód tak, aby používal nový klíč GPG, a jsou k dispozici průvodce oddělené specifické pro Terraform.

Pokud se o tom chcete dozvědět více, můžete zkontrolovat podrobnosti přechodem na následující odkaz.


Zanechte svůj komentář

Vaše e-mailová adresa nebude zveřejněna. Povinné položky jsou označeny *

*

*

  1. Za data odpovídá: AB Internet Networks 2008 SL
  2. Účel údajů: Ovládací SPAM, správa komentářů.
  3. Legitimace: Váš souhlas
  4. Sdělování údajů: Údaje nebudou sděleny třetím osobám, s výjimkou zákonných povinností.
  5. Úložiště dat: Databáze hostovaná společností Occentus Networks (EU)
  6. Práva: Vaše údaje můžete kdykoli omezit, obnovit a odstranit.