Взлом инструмента Codecov Bash Uploader привел к утечке данных организаций по всему миру
16 апреля 2021 года
Специалисты в области реагирования на инциденты безопасности стараются оценить риски, возникшие в результате атаки на цепочку поставок Codecov Bash Uploader, которая оставалась нераскрытой с начала года и привела к утечке токенов, ключей и учетных данных организаций по всему миру.
Взлом инструмента для разработки ПО Codecov Bash Uploader произошел четыре месяца назад, но был обнаружен одним из его пользователей только 1 апреля. Разработчик заподозрил неладное, когда заметил несоответствие между значением хеш-суммы на GitHub и значением хеш-суммы, полученным из загруженного Bash Uploader.
«В четверг, 1 апреля 2021 года, нам стало известно, что кто-то получил несанкционированный доступ к нашему скрипту Bash Uploader и модифицировал его без нашего разрешения. Злоумышленнику удалось получить доступ благодаря ошибке в используемом Codecov процессе создания образа Docker, позволившей ему извлечь учетные данные, необходимые для внесения изменений в скрипт Bash Uploader», - говорится в уведомлении Codecov.
Как показало расследование инцидента, с 31 января текущего года злоумышленники имели регулярный несанкционированный доступ к принадлежащему Codecov ключу от облачного хранилища Google (Google Cloud Storage, GCS). Благодаря этому им удалось модифицировать скрипт загрузчика с целью «потенциального экспорта информации, подлежащей непрерывной интеграции (CI), на сторонний сервер». В результате злоумышленники смогли экспортировать информацию из пользовательских сред CI на сторонний сервер за пределами инфраструктуры Codecov.
Bash Uploader используется в нескольких загрузчиках, в частности в Codecov-actions для Github, Codecov CircleCl Orb и Codecov Bitrise Step, которые также могли быть затронуты утечкой.
Модифицированная злоумышленниками версия скрипта Bash Uploader потенциально могла затронуть:
Любые учетные данные, токены и ключи, передаваемые пользователями через средство для запуска CI, доступное в процессе выполнения скрипта Bash Uploader;
Любые сервисы, хранилища данных и коды приложений, доступ к которым можно получить с помощью вышеупомянутых токенов, ключей или учетных данных;
Информация git (URL-адрес оригинального репозитория) репозиториев, использующих скрипты Bash Uploader для загрузки оболочки в Codecov в CI.
По словам генерального директора Codecov Джеррода Энгельберга (Jerrod Engelberg), компания поменяла все соответствующие внутренние учетные данные, включая ключ, используемый для облегчения модификации Bash Uploader, а также провела аудит с целью определить, где и как был доступен ключ.
Codecov настоятельно рекомендует командам разработчиков программного обеспечения «немедленно сменить все учетные данные, токены или ключи, расположенные в переменных среды в процессе CI».
Источники править
Эта статья содержит материалы из статьи «Взлом инструмента Codecov Bash Uploader привел к утечке данных организаций по всему миру», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.