< p class="meta"> Von Charlie Osborne für Zero Day | 14. Juni 2021 — 08:49 GMT (09:49 BST) | Thema: Sicherheit
Codecov hat einen neuen Uploader eingeführt, der auf NodeJS angewiesen ist, um ein Bash-Skript zu ersetzen und zu entfernen, das für einen kürzlichen Angriff auf die Lieferkette verantwortlich ist.
Der in San Francisco ansässige Anbieter von DevOps-Tools sagte in einem Blogbeitrag, dass der neue Uploader als statische ausführbare Binärdatei ausgeliefert wird, die für Windows, Linux, Alpine Linux und macOS geeignet ist.
Der Uploader, der auf die gleiche Weise wie der vorhandene Bash-Uploader verwendet wird, wird verwendet, um während der Entwicklungszyklen Abdeckungsdaten und Updates an Produkte zu übertragen. Der Uploader befindet sich derzeit in der Beta-Phase und muss daher noch vollständig integriert werden, aber Codecov sagt, dass “die meisten Standard-Workflows, die derzeit mit dem Bash-Uploader ausgeführt werden, mit dem neuen Uploader ausgeführt werden können”.
Der Bash-Uploader von Codecov war die Quelle einer Reihe von Angriffen auf die Lieferkette, die um den 31. Januar 2021 herum stattfanden und am 15. April veröffentlicht wurden.
Durch die Infiltrierung des Codecov-Netzwerks und die Entführung des Bash-Uploaders stellten die Bedrohungsakteure sicher, dass die Benutzer dem Diebstahl von Informationen ausgesetzt waren, die in ihren Continuous Integration (CI)-Umgebungen gespeichert waren, anstatt während der Projektaktualisierungen “gesünderen” Code zu verbreiten, wie es Codecov beabsichtigte .
Der Angriff hat es den Angreifern möglicherweise auch ermöglicht, “zusätzliche Ressourcen zu plündern”, so die Ermittler, die nach der Veröffentlichung des Verstoßes eingeschaltet wurden – einschließlich Anmeldeinformationen, die in einigen Fällen möglicherweise zu einer größeren Netzwerkkompromittierung führen.
Es wird vermutet, dass Hunderte von Organisationen in den Sicherheitsvorfall verwickelt sind. Bekannte Opfer sind Rapid7, Monday.com, Mercari und Twilio.
Die Bash-Uploader-Reihe von Codecov – der Codecov-Actions-Uploader für Github, CircleCl Orb und Bitrise Step – waren alle betroffen.
Das Unternehmen sagt, dass mit der Einführung des neuen Uploaders alle anderen sprachspezifischen Uploader abgeschrieben werden, wobei dem schuldhaften Bash-Uploader “besondere Aufmerksamkeit” geschenkt wird.
Codecov arbeitet seit acht Monaten an dem NodeJS-Uploader, ursprünglich um die zunehmende Komplexität der Erleichterung von Uploads und Wartung zu reduzieren, da der Codecov-Kundenstamm wächst.
Jetzt, da das Bash-Skript mit einem schwerwiegenden Sicherheitsvorfall verbunden ist, ist das Upgrade jedoch dringend erforderlich.
„Der Verteilungsmechanismus der Wahl (d. h. Curl Pipe to Bash) ist zwar unglaublich bequem, aber aus Sicherheitsgründen bekanntermaßen problematisch“, sagte Codecov. “Die Schwächen des curl | bash-Ansatzes traten während des jüngsten Sicherheitsereignisses in den Vordergrund.”
Der neue Uploader ist jetzt für die öffentliche Nutzung im Rahmen der Beta verfügbar und umfasst eine sicherere, überprüfbare Verteilungsarchitektur, Schutz vor unbefugten Codeänderungen und eine verbesserte CI/CD-Pipeline zur Durchführung automatisierter Tests des Uploaders unter Windows, Linux und macOS.
Codecov hofft, den Bash-Uploader ab November abschreiben zu können, wobei eine vollständige Einstellung des Systems nach dem 1. Februar 2022 geplant ist. Die Organisation hat auch andere Sicherheitsverbesserungen im Zuge der Angriffe skizziert.
Frühere und verwandte Berichterstattung
Diese neue Hacking-Gruppe hat eine böse Überraschung für afrikanische Diplomaten im Nahen Osten bereit
Das DOJ klagt einen Cybersicherheitsbeamten wegen Angriffs auf ein Krankenhaus in Georgia an
Feds streikt Slilpp, einen Marktplatz für das Auspeitschen der Zugangsdaten für den Erstzugang
Haben Sie einen Tipp? Kontaktieren Sie uns sicher über WhatsApp | Signal unter +447713 025 499 oder drüben bei Keybase: charlie0
Verwandte Themen:
Sicherheit TV-Datenverwaltung CXO-Rechenzentren 