Codecov Bash上传者在供应链黑客中妥协
安全响应专业人员正在加争夺从1月份以来的软件供应链妥协衡量的软件供应链妥协,并从1月份和世界各地组织的组织等令牌,钥匙和凭据等暴露敏感秘密。
这家公司在4月1日的一份报告的情况下,刚刚在野外发现了一名Codecov客户,才发现了一名Codecov客户在野外的野外,该公司在一份情况下表示承认违约的严重性。
“在2021年4月1日星期四,我们了解到,有人获得了未经授权访问我们的Bash上传者脚本并未在未经许可的情况下修改它。 CodeCov表示,acceCov的Docker Image创建过程中允许CodeCov的Docker图像创建过程中的错误获得了访问权限,允许Accov允许actor提取凭证所需的凭据。“
该公司表示,一项法医调查决定,袭击在1月下旬开始,未被发现,直到客户注意到GitHub上的Shasum与来自下载的Bash上传者计算的Shasum之间的差异。
“基于迄今为止的法医调查结果,似乎有周期性,未经授权访问Google云存储(GCS)键,从2011年1月31日开始,它允许恶意第三方更改我们的Bash上传者脚本的版本潜在地将信息导出到第三方服务器的连续集成(CI)。 Codecov担保并修复脚本4月1日,2021年。“
Codecov表示,违约允许攻击者将存储在其用户中的信息出口'连续集成(CI)环境。然后将此信息发送到CodeCov基础设施之外的第三方服务器,“该公司警告说。
CodeCov的Bash上传器也用于多个上传者 - CodeCov-Actionsuper for Github,CodeCov Circlecl Orb和CodeCov Bitrise Step - 而该公司表示这些上传者也受到违规影响。
●我们客户通过其CI跑步者传递的任何凭据,令牌或键,当执行BASH上传者脚本时可以访问。
●可以使用这些凭据,令牌或键访问的任何服务,数据存储和应用程序代码。
●使用BASH上传器将CodeCov的覆盖库上传到CI中的覆盖库的Git远程信息(原始存储库的URL)。
CodeCov首席执行官Jerrod Engelberg表示,该公司已旋转所有相关的内部凭据,包括用于促进Bash上传者的修改的关键;并进行审核以确定键可访问的何处以及如何。
Engelberg表示,该公司正在建立监控和审计工具,以确保再次对Bash Uploader发生这种意外的变化;并且还与第三方服务器的托管提供商合作,以确保恶意Web服务器已正确退役。
“我们不断监控我们的网络和系统的不寻常活动,但与任何其他公司一样,CodeCov不会免于这种类型的事件。我们还致力于进一步提升安全性,以便我们能够保持在这种类型的活动之后,包括加强我们的安全工具,政策和程序,“Engelberg补充道。
CodeCov强烈鼓励软件开发团队“立即重新滚动所有凭据,代币或位于CI过程中的环境变量中的钥匙。”
“这是一个显着的妥协。 [我们现在]努力弄清楚爆炸半径,鉴于这是一个月的凭证,“硅谷安全响应专业人员告诉SecurityWeek。 Codecov被认为是衡量技术行业守则覆盖范围的选择的供应商。 该公司的工具有助于开发人员了解和测量由测试套件执行的代码行,并广泛部署在大型技术开发管道中 该公司声称,超过29,000家企业使用其代码覆盖洞察来检查代码质量并维护代码覆盖范围。 CodeCov没有说有多少客户受到影响或在事件中被盗的数据。
