Artigos

Suas credenciais de desenvolvedor podem estar comprometidas

Se você usa alguma ferramenta Atlassian, preste atenção nestas informações. A plataforma online de relatórios de testes e estatísticas Codecov anunciou nessa última terça-feira que um invasor modificou o seu Bash Uploader Script, expondo informações sensíveis de seus clientes, do ambiente de integração contínua (CI).

Mudanças no Bash Uploader começaram em janeiro.

A Codecov fornece ferramentas que ajudam desenvolvedores a medir quanto do código-fonte é executado durante os testes, um processo conhecido como cobertura de código, que indica o potencial de bugs não serem detectados no código analisado.

Ela tem mais de 29 mil empresas, a lista conta com Atlassian, Washington Post, GoDaddy, Royal Bank of Canada e Procter & Gamble.

O Bash Uploader envia os relatórios de cobertura de código para a plataforma Codecov e detecta configurações específicas de CI, coleta relatórios, e faz o upload da informação.

O atacante focou no instrumento de coleta de dados começando no dia 31 de janeiro. Ele mudou o script para entregar detalhes do ambiente dos clientes para um servidor fora da infraestrutura da Codecov, o que ficou visível na linha 525.

A fraqueza que o atacante explorou para ganhar acesso foi um erro no processo de criação da imagem Docker da Codecov, que permitiu extrair credenciais protegendo a modificação do Bash Uploader Script.

Após descobrir que o Bash Uploader coletou informações, a Codecov informou que o invasor pode ter usado a versão maliciosa do script para exportar os seguintes dados sensíveis:

  • Quaisquer credenciais, tokens, ou chaves que seus clientes estivessem passando pelo CI deles que poderia ser acessado pelo Bash Uploader Script quando executado.
  • Quaisquer serviços, datastores, e código de aplicações que poderiam ser acessadas com essas credenciais, tokens, ou chaves.
  • A informação remota do GIT (URL de origem do repositório) de repositórios usando os Bash Uploaders para carregar a cobertura para a Codecov no CI.

Por causa do risco potencial, é fortemente recomendável que os usuários afetados atualizem suas credenciais, tokens, ou chaves presentes nas variáveis de ambientes nos processos de CI que utilizam o Bash Uploader.

Clientes que estejam utilizando a versão local do do script devem verificar se a linha 525 existe e se está apontando para aquele IP externo e se estiver atualizar o quanto antes o arquivo substituindo pela última versão do script lançada pela Codecov.

Na variante original, o script faz o upload de dados da variável “ENV” para a plataforma da Codecov. Depois que o atacando modificou o script, o Bash Uploader tambẽm estava enviando os detalhes para o novo endereço, um IP da Digital Ocean que não era da Codecov.

Eles descobriram a alteração após um cliente que notou que o valor hash para o script do Bash Uploader no GitHub não era igual ao arquivo para o download.

Baseado na investigação forense

Parece que houve um acesso único ao nosso google cloud storage (gsc) começando em 31 de janeiro de 2021, que permitiu a alteração na versão do nosso bash uploader para exportar informações sujeitas a integração continua (CI) para um servidor externo. a codecov assegurou e remediou o script no dia 01 de abril de 2021 – Codecov

Imediatamente ao saber do script comprometido, a empresa tomou ações para miticar o incidente, que incluiu o seguinte:

  • Troca de todas as credenciais internas, incluindo a senha usada para facilitar a modificação do Bash Uploader
  • Auditoria de como e quando a chave foi acessada
  • Estabeleceu ferramentas de auditoria e monitoramento para assegurar que esse tipo de mudança não intencional não aconteça com o Bash Uploader novamente.
  • Trabalhou com o provedor de hospedagem do servidor externo para garantir que o webserver malicioso foi descontinuado de forma apropriada.

A Codecov disse que o incidente ocorreu apesar das suas políticas de segurança, procedimentos, práticas e controles que tem montados, e de seu continuo monitoramento da rede e dos sistemas por atividades incomuns.

19 de abril de 2021, declaração da atlassian

Nós estamos cientes do ocorrido e estamos investigando. Até o momento, nós não encontramos nenhuma evidencia de que fomos impactados nem identificamos sinais de comprometimento.

Se você usa alguma ferramenta Atlassian, preste atenção nestas informações, mesmo com os posicionamentos oficiais da empresas, fica a dica do Somos Conectados, de que se você é um desenvolvedor web, revise sua política de senhas e esteja atento a acessos incomuns em seus repositórios, hospedagens e sistemas.

Esta postagem foi modificada pela última vez em %s = human-readable time difference 09:04

David Ohio

Começou a estudar elétrica aos 15, e depois não parou mais, sempre e envolvido com tecnologia em vários aspectos hoje seus principais interesses estão na IA (Inteligência Artificial) e segurança da informação, trabalhando também como desenvolvedor e com pentest dando consultoria em segurança da informação.

Recentes

O que significada os códigos de erro do Onix ( Code )

Já se perguntou por que o seu Chevrolet Onix, um dos carros mais populares do…

31 de outubro de 2024

Receita de Pão de mel na Airfryer

O pão de mel se tornou um doce conhecido e que todo mundo gosta, com…

30 de outubro de 2024

Como fazer omelete na airfryer de forma fácil

Já se perguntou como transformar sua airfryer em uma aliada na hora de preparar um…

29 de outubro de 2024

Qual o significado da luz do painel do carro

Já se perguntou por que, de repente, uma luz no painel do seu carro começa…

29 de outubro de 2024

Receita de Bolinho de frango

Veja que receita fácil de Bolinho de Frango além de ser uma delicia é bem…

28 de outubro de 2024

Receita de lanche de Pão de forma tipo Bauru no forno

Essa receita também é conhecida como pizza de pão de forma ou Bauru de forno…

28 de outubro de 2024