17.04.2021 | Взлом инструмента Codecov Bash Uploader привел к утечке данных организаций по всему миру |
Специалисты в области реагирования на инциденты безопасности стараются оценить риски, возникшие в результате атаки на цепочку поставок Codecov Bash Uploader, которая оставалась нераскрытой с начала года и привела к утечке токенов, ключей и учетных данных организаций по всему миру. Взлом инструмента для разработки ПО Codecov Bash Uploader произошел четыре месяца назад, но был обнаружен одним из его пользователей только 1 апреля. Разработчик заподозрил неладное, когда заметил несоответствие между значением хеш-суммы на GitHub и значением хеш-суммы, полученным из загруженного Bash Uploader. «В четверг, 1 апреля 2021 года, нам стало известно, что кто-то получил несанкционированный доступ к нашему скрипту Bash Uploader и модифицировал его без нашего разрешения. Злоумышленнику удалось получить доступ благодаря ошибке в используемом Codecov процессе создания образа Docker, позволившей ему извлечь учетные данные, необходимые для внесения изменений в скрипт Bash Uploader», - говорится в уведомлении Codecov. Как показало расследование инцидента, с 31 января текущего года злоумышленники имели регулярный несанкционированный доступ к принадлежащему Codecov ключу от облачного хранилища Google (Google Cloud Storage, GCS). Благодаря этому им удалось модифицировать скрипт загрузчика с целью «потенциального экспорта информации, подлежащей непрерывной интеграции (CI), на сторонний сервер». В результате злоумышленники смогли экспортировать информацию из пользовательских сред CI на сторонний сервер за пределами инфраструктуры Codecov. Bash Uploader используется в нескольких загрузчиках, в частности в Codecov-actions для Github, Codecov CircleCl Orb и Codecov Bitrise Step, которые также могли быть затронуты утечкой. Модифицированная злоумышленниками версия скрипта Bash Uploader потенциально могла затронуть:
По словам генерального директора Codecov Джеррода Энгельберга (Jerrod Engelberg), компания поменяла все соответствующие внутренние учетные данные, включая ключ, используемый для облегчения модификации Bash Uploader, а также провела аудит с целью определить, где и как был доступен ключ. Codecov настоятельно рекомендует командам разработчиков программного обеспечения «немедленно сменить все учетные данные, токены или ключи, расположенные в переменных среды в процессе CI». |
Проверить безопасность сайта