CodeCov漏洞是否會(huì)帶來(lái)下一個(gè)大型軟件供應(yīng)鏈攻擊事件?

最新消息，軟件審計(jì)平臺(tái)Codecov遭黑客入侵，該事件可能影響其2.9萬(wàn)名客戶，并且引發(fā)大量公司連鎖數(shù)據(jù)泄露，造成又一起”供應(yīng)鏈“重大安全危機(jī)。

[[394072]]

下游用戶面臨安全危機(jī)

1月31日開(kāi)始，黑客瞄準(zhǔn)Codecov，利用Codecov的Docker映像創(chuàng)建過(guò)程中出現(xiàn)的錯(cuò)誤，非法獲得了其Bash Uploader腳本的訪問(wèn)權(quán)限并且進(jìn)行了修改。而這意味著攻擊者很有可能導(dǎo)出存儲(chǔ)在Codecov用戶的持續(xù)集成(CI)環(huán)境中的信息，最后將信息發(fā)送到Codecov基礎(chǔ)架構(gòu)之外的第三方服務(wù)器。

嚴(yán)格來(lái)說(shuō)，Bash Uploader腳本被篡改，將導(dǎo)致：

• 用戶執(zhí)行Bash Uploader腳本時(shí)，通過(guò)其CI運(yùn)行器傳遞的任何憑據(jù)，令牌或密鑰都可以被攻擊者訪問(wèn)。
• 攻擊者可以使用這些憑據(jù)、令牌或密鑰訪問(wèn)任何服務(wù)、數(shù)據(jù)存儲(chǔ)和應(yīng)用程序代碼。
• 使用Bash Uploaders將覆蓋范圍上傳到CI中的Codecov的存儲(chǔ)庫(kù)的git遠(yuǎn)程信息(原始存儲(chǔ)庫(kù)的URL)。

此次事件對(duì)于Codecov的用戶來(lái)說(shuō)無(wú)異于無(wú)妄之災(zāi)。首先，Codecov并不是一家公開(kāi)上市的公司，只有數(shù)十名員工，年收入為數(shù)百萬(wàn)美元，相比SolarWinds和Microsoft顯得不具備太大的吸引力。因此，可以合理判斷攻擊者入侵該平臺(tái)更多是作為供應(yīng)鏈攻擊的考慮，獲取其客戶的訪問(wèn)權(quán)限對(duì)攻擊者來(lái)說(shuō)更有價(jià)值。

據(jù)悉，由于Codecov被行業(yè)內(nèi)多家公司用來(lái)測(cè)試代碼錯(cuò)誤和漏洞，其客戶包括了消費(fèi)品集團(tuán)寶潔公司、網(wǎng)絡(luò)托管公司GoDaddy Inc、華盛頓郵報(bào)和澳大利亞軟件公司Atlassian Corporation PLC等。雖然暫時(shí)還沒(méi)有相關(guān)受害者發(fā)表聲明，但攻擊者很可能已經(jīng)有所”收獲“。

入侵持續(xù)至少2個(gè)月

攻擊從1月31日就開(kāi)始進(jìn)行，但第一個(gè)客戶發(fā)現(xiàn)不對(duì)勁時(shí)已經(jīng)是4月1日，這表示被入侵的軟件在長(zhǎng)達(dá)數(shù)月時(shí)間里正常流通，潛在受害者無(wú)數(shù)。

目前，美國(guó)聯(lián)邦調(diào)查局正在調(diào)查此事，但暫時(shí)沒(méi)有公開(kāi)對(duì)此事進(jìn)行詳細(xì)說(shuō)明。Codecov則已經(jīng)對(duì)可能受影響的腳本進(jìn)行了保護(hù)和修復(fù)，并且給受影響的用戶發(fā)了電子郵件。不過(guò)暫時(shí)沒(méi)有透露這些用戶的信息。

Codecov入侵事件的威脅程度或許可以與SolarWinds黑客事件媲美，而相比以往更為頻繁的供應(yīng)鏈攻擊，進(jìn)一步證明代碼審查和簽名變得極為重要，而圍繞這些代碼簽名密鑰的存儲(chǔ)和處置的透明性將是建立對(duì)渠道信任的關(guān)鍵一步。

最后，建議所有受影響的用戶立即在使用Codecov的BashUploaders程序的CI進(jìn)程中重新回滾其環(huán)境變量中的所有憑據(jù)、令牌或密鑰。

參考來(lái)源：https://about.codecov.io/security-update/