Un código malicioso en pone en peligro la clave PGP de HashiCorp

mayo 08, 2021 , 0 Comments

HashiCorp, una reconocida empresa por el desarrollo de kits de herramientas abiertos como Vagrant, Packer, Nomad y Terraform, dio a conocer hace ya varios dias la noticia sobre una filtración de la clave GPG cerrada utilizada para crear la firma digital que verifica las versiones de su software.

En su publicación comentan que los atacantes que obtuvieron acceso a la clave GPG con lo cual podrían potencialmente realizar cambios ocultos en los productos HashiCorp al certificarlos con la firma digital correcta. Al mismo tiempo, la empresa dijo que durante la auditoría no se encontraron rastros de intentos de realizar tales modificaciones.

Mencionan que en el momento en el que detectaron la clave GPG comprometida esta fue revocada y posterior a ello se realizó la introducción de una nueva clave en su lugar.

El problema solo afectó la verificación mediante archivos SHA256SUM y SHA256SUM.sig y no afectó la generación de firmas digitales para paquetes DEB y RPM de Linux suministrados a través del sitio web «releases.hashicorp.com», así como los mecanismos de confirmación de lanzamiento para macOS y Windows (AuthentiCode).

El 15 de abril de 2021, Codecov (una solución de cobertura de código) reveló públicamente un evento de seguridad durante el cual una parte no autorizada pudo realizar modificaciones a un componente de Codecov que los clientes de Codecov descargan y ejecutan al usar la solución.

Estas modificaciones permitieron a la parte no autorizada exportar potencialmente la información almacenada en los entornos de integración continua (CI) de los usuarios de Codecov. Codecov reveló que el acceso no autorizado comenzó el 31 de enero de 2021 y fue identificado / remediado el 1 de abril de 2021.

La filtración se produjo debido al uso del script Codecov Bash Uploader (codecov-bash) en la infraestructura, diseñado para descargar informes de cobertura de sistemas de integración continua. Durante el ataque a la empresa Codecov en el script especificado se escondió un backdoor incrustado a través de la cual se organizó el envío de contraseñas y claves de cifrado a un servidor malicioso.

Para hackear la infraestructura de Codecov, los atacantes aprovecharon un error en el proceso de creación de la imagen de Docker, lo que les permitió extraer los datos para acceder al GCS (Google Cloud Storage) necesarios para realizar cambios en el script Bash Uploader distribuido desde el sitio web codecov.io.

Los cambios se realizaron el 31 de enero, dos meses pasaron desapercibidos y permitieron a los atacantes extraer información almacenada en los entornos de los sistemas de integración continua del cliente. Con el código malicioso agregado, los atacantes podrían obtener información sobre el repositorio de Git probado y todas las variables de entorno, incluidos los tokens, las claves de cifrado y las contraseñas pasadas a los sistemas de integración continua para proporcionar acceso al código de la aplicación, repositorios y servicios como Amazon Web. Servicios y GitHub.

HashiCorp se vio afectado por un incidente de seguridad con un tercero (Codecov) que llevó a la posible divulgación de información confidencial. Como resultado, se ha rotado la clave GPG utilizada para la firma y verificación de la versión. Los clientes que verifican las firmas de versiones de HashiCorp pueden necesitar actualizar su proceso para usar la nueva clave.

Si bien la investigación no ha revelado evidencia de uso no autorizado de la clave GPG expuesta, se ha rotado para mantener un mecanismo de firma confiable.

Además de la invocación directa, el script Codecov Bash Uploader se ha utilizado como parte de otros descargadores como Codecov-action (Github), Codecov-circleci-orb y Codecov-bitrise-step, cuyos usuarios también se ven afectados por el problema.

Finalmente se hace la recomendación a todos los usuarios de codecov-bash y productos relacionados que auditen sus infraestructuras y cambien las contraseñas y claves de cifrado.

Además HashiCorp ha publicado versiones de parches de Terraform y herramientas relacionadas que actualizan el código de verificación automática para usar la nueva clave GPG y brindó una guía separada específica de Terraform.

Si quieres conocer más al respecto, puedes consultar los detalles dirigiéndote al siguiente enlace.


Some say he’s half man half fish, others say he’s more of a seventy/thirty split. Either way he’s a fishy bastard.