Birisi, kapsama raporları için Codecov’un Bash Yükleyicisini değiştirdi

Codecov, açıklandı Codecov’a kapsam raporları göndermek için bir çerçeve ve dilden bağımsız bir yöntem sağlayan bir araç olan Bash Uploader komut dosyasını içeren bir güvenlik olayı. Şirket, yetkisiz bir tarafın Bash Uploader’a erişim sağladığını ve izinsiz olarak değiştirdiğini söyledi.

Codecov, geliştiricilerin ve mühendislik liderlerinin kod kapsamlarına uygulanabilir görünürlük elde etmeleri için son derece entegre araçlar sağlar.

Codecov, saldırıyı 1 Nisan 2021’de öğrendiğini söyledi. Daha fazla araştırma, saldırganların, Codecov’un Docker görüntü oluşturma sürecindeki Bash Uploader komut dosyasını değiştirmek için gerekli kimlik bilgilerini çıkarmasına izin veren bir hata nedeniyle erişim elde edebildiğini ortaya çıkardı.

“Araştırmamız, 31 Ocak 2021 tarihinden itibaren, Bash Yükleyici komut dosyamızda üçüncü bir tarafça düzenli olarak, yetkisiz değişiklikler yapıldığını ve bu kişilerin potansiyel olarak kullanıcılarımızın sürekli entegrasyon (CI) ortamlarında depolanan bilgileri dışa aktarmalarını sağladığını belirledi. Şirket, bu bilgiler daha sonra Codecov altyapısının dışındaki bir üçüncü taraf sunucuya gönderildi ”dedi.

“Bash Yükleyici şu ilgili yükleyicilerde de kullanılır: Github için Codecov eylemleri yükleyicisi, Codecov CircleCl Orb ve Codecov Bitrise Adımı (birlikte” Bash Yükleyicileri “). Bu nedenle, bu ilgili yükleyiciler de bu olaydan etkilendi. ”

Bash Yükleyici komut dosyasının değiştirilmiş sürümü aşağıdakileri etkileyebilir:

-Müşterilerimizin CI çalıştırıcısından geçtikleri ve Bash Yükleyici komut dosyası yürütüldüğünde erişilebilecek tüm kimlik bilgileri, belirteçler veya anahtarlar.

-Bu kimlik bilgileri, belirteçler veya anahtarlarla erişilebilen herhangi bir hizmet, veri deposu ve uygulama kodu.

– Kapsamı CI’da Codecov’a yüklemek için Bash Yükleyicilerini kullanan depoların git uzak bilgileri (kaynak havuzunun URL’si).

Codecov CEO’su Jerrod Engelberg, şirketin Bash Yükleyicinin değiştirilmesini kolaylaştırmak için kullanılan anahtar da dahil olmak üzere tüm ilgili dahili kimlik bilgilerini değiştirdiğini söyledi; anahtarın nerede ve nasıl erişilebilir olduğunu belirlemek için denetimler gerçekleştirdi.

Şirket, ihlalden etkilenmiş olabilecek kullanıcıları bilgilendirdiğini söyledi. Kullanıcılara, “Codecov’un Bash Yükleyicilerinden birini kullanan CI süreçlerindeki ortam değişkenlerinde bulunan tüm kimlik bilgilerini, belirteçlerini veya anahtarlarını hemen yeniden almalarını” önerir.