Hashicorp отозвал закрытый ключ из-за нарушения безопасности Codecov

Источник · Перевод автора

Закрытый ключ для подписи кода был обнаружен с помощью скомпрометированного сценария Codecov, сообщила компания с открытым исходным кодом HashiCorp на своем дискуссионном форуме.

Codecov, которая производит инструменты аудита программного обеспечения, чтобы разработчики могли видеть, насколько тщательно их код тестируется, ранее в этом месяце сообщила, что скрипт, используемый для загрузки данных на его серверы, был изменен неизвестными участниками. Сценарий использовал тот факт, что инструменты Codecov имеют доступ к внутренним учетным записям, и экспортировал эти учетные данные на неавторизованный сервер.

HashiCorp был одним из клиентов Codecov, пострадавших от подделки сценария, написал на прошлой неделе на дискуссионном форуме компании Джейми Финниган, директор по безопасности продуктов HashiCorp. Продукт Terraform от HashiCorp – это программный инструмент с открытым исходным кодом для создания инфраструктуры в виде кода, широко используемый для автоматизированного развертывания в облаке.

«[HashiCorp] обнаружил, что подмножество конвейеров HashiCorp CI использовало затронутый компонент Codecov», – написал Финниган, отметив, что был раскрыт закрытый ключ GPG [Gnu Privacy Guard], используемый для подписи хэшей, используемых для проверки загрузки продукта HashiCorp.

Отзыв ключа

Опасность раскрытия закрытого ключа заключается в том, что злоумышленник может использовать его для подписи чего угодно, и подписанный файл будет выглядеть так, как если бы это был законный файл от владельца ключа. В этом случае опасение заключалось в том, что кто-то мог изменить одну из загрузок HashiCorp, включив в нее вредоносный код, а затем отказаться от нее с помощью закрытого ключа. Насколько известно, этот файл был обновлением от HashiCorp, и его можно было безопасно загрузить и установить.

Finnigan из HashiCorp заявила, что расследование не показало, что какие-либо из существующих версий были изменены. Компания отозвала открытый ключ и заново подписала свои загружаемые файлы новым ключом.

«[Ключ] GPG, используемый для подписания и проверки выпуска, был изменен», – написал Финниган. «Клиентам, которые проверяют подписи выпуска HashiCorp, возможно, потребуется обновить свой процесс, чтобы использовать новый ключ».

Хотя все официальные загрузки на веб-сайте HashiCorp подписаны новым ключом, для клиентов HashiCorp по-прежнему существуют некоторые проблемы. В средах, где загрузки продуктов HashiCorp проверяются вручную или автоматически, клиентам необходимо будет выполнить обновление вручную, чтобы отразить изменение ключа. Кроме того, Terraform загружает двоичные файлы поставщика и выполняет проверку подписи как часть одного процесса во время автоматической проверки кода, и этот процесс все еще использует отозванный ключ.

«HashiCorp опубликует выпуски исправлений Terraform и связанных инструментов, которые обновят код автоматической проверки для использования нового ключа GPG», – сказал Финниган. А пока клиенты могут вручную проверить Terraform новый ключ и подписи.

Воздействие атаки на цепочку поставок

Это лишь одно из многих раскрытий, когда компании оценивают, пострадали ли они от нарушения безопасности Codecov. Более 29000 корпоративных клиентов по всему миру используют инструменты Codecov, и вредоносный скрипт присутствовал с 31 января до его обнаружения 1 апреля. Codecov обсудил нарушение и то, как учетные данные, токены и ключи могли потенциально быть раскрыты, в сообщении в блоге 15 апреля. .

CircleCI, платформа непрерывной интеграции и непрерывной доставки, подтвердила Cybersecurity Dive, что нарушение Codecov повлияло на ее интеграцию с фирмой CircleCI Orb, занимающейся тестированием кода.

Взлом Codecov – это форма атаки на цепочку поставок, когда злоумышленники атакуют поставщиков или продавцов компании. Скомпрометировав Codecov, злоумышленники заполучили всевозможные ключи API, учетные данные для входа и другую информацию безопасности. В случае с HashiCorp, если бы злоумышленники взломали инструменты компании, это было бы еще одной атакой на цепочку поставок, поскольку эти инструменты широко используются на предприятиях.

Возможно, злоумышленники использовали собранные учетные данные в других атаках, которые еще не были обнаружены. Тот факт, что закрытый ключ HashiCorp был раскрыт, достаточно плох, но компания не сообщила, было ли что-то еще украдено или взломано.

«HashiCorp выполнила дополнительные меры по исправлению ситуации, связанной с информацией, которая могла быть раскрыта во время этого инцидента», – сказал Финниган, но не предоставил подробностей о том, что еще могло быть собрано.