Взлом инструмента Codecov Bash Uploader привел к утечке данных организаций по всему миру

16 апреля 2021 года

Специалисты в области реагирования на инциденты безопасности стараются оценить риски, возникшие в результате атаки на цепочку поставок Codecov Bash Uploader, которая оставалась нераскрытой с начала года и привела к утечке токенов, ключей и учетных данных организаций по всему миру.

Взлом инструмента для разработки ПО Codecov Bash Uploader произошел четыре месяца назад, но был обнаружен одним из его пользователей только 1 апреля. Разработчик заподозрил неладное, когда заметил несоответствие между значением хеш-суммы на GitHub и значением хеш-суммы, полученным из загруженного Bash Uploader.

«В четверг, 1 апреля 2021 года, нам стало известно, что кто-то получил несанкционированный доступ к нашему скрипту Bash Uploader и модифицировал его без нашего разрешения. Злоумышленнику удалось получить доступ благодаря ошибке в используемом Codecov процессе создания образа Docker, позволившей ему извлечь учетные данные, необходимые для внесения изменений в скрипт Bash Uploader», - говорится в уведомлении Codecov.

Как показало расследование инцидента, с 31 января текущего года злоумышленники имели регулярный несанкционированный доступ к принадлежащему Codecov ключу от облачного хранилища Google (Google Cloud Storage, GCS). Благодаря этому им удалось модифицировать скрипт загрузчика с целью «потенциального экспорта информации, подлежащей непрерывной интеграции (CI), на сторонний сервер». В результате злоумышленники смогли экспортировать информацию из пользовательских сред CI на сторонний сервер за пределами инфраструктуры Codecov.

Bash Uploader используется в нескольких загрузчиках, в частности в Codecov-actions для Github, Codecov CircleCl Orb и Codecov Bitrise Step, которые также могли быть затронуты утечкой.

Модифицированная злоумышленниками версия скрипта Bash Uploader потенциально могла затронуть:

Любые учетные данные, токены и ключи, передаваемые пользователями через средство для запуска CI, доступное в процессе выполнения скрипта Bash Uploader;

Любые сервисы, хранилища данных и коды приложений, доступ к которым можно получить с помощью вышеупомянутых токенов, ключей или учетных данных;

Информация git (URL-адрес оригинального репозитория) репозиториев, использующих скрипты Bash Uploader для загрузки оболочки в Codecov в CI.


По словам генерального директора Codecov Джеррода Энгельберга (Jerrod Engelberg), компания поменяла все соответствующие внутренние учетные данные, включая ключ, используемый для облегчения модификации Bash Uploader, а также провела аудит с целью определить, где и как был доступен ключ.

Codecov настоятельно рекомендует командам разработчиков программного обеспечения «немедленно сменить все учетные данные, токены или ключи, расположенные в переменных среды в процессе CI».

Источники править

 
Эта статья загружена автоматически ботом NewsBots и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.