Codecov да оттегли скрипта на Bash, отговорен за вълната на атака на веригата за доставки

Codecov представи нов инструмент за качване, който разчита на NodeJS, за да замени и премахне скрипт Bash, отговорен за скорошна атака на веригата за доставки.

Доставчикът на инструменти DevOps, базиран в Сан Франциско каза в публикация в блог че новият файл за качване ще бъде изпратен като статичен двоичен изпълним файл, подходящ за Windows, Linux, Alpine Linux и macOS.

The качващо устройство, използвано по същия начин като съществуващия инструмент за качване на Bash, се използва за изпращане на данни за покритие и актуализации на продукти по време на циклите на разработка. Понастоящем програмата за качване е в стадия на бета версията и затова тепърва ще бъде напълно интегрирана, но Codecov казва, че “повечето стандартни работни процеси, които в момента са изпълнени с Bash Uploader, могат да бъдат изпълнени с новия инструмент за качване.”

Качителят на Codecov Bash е източникът на поредица от атаки по веригата на доставки, които се провеждат около 31 януари 2021 г., публикувани на 15 април.

Чрез проникване в мрежата на Codecov и отвличане на програмата за качване на Bash, участниците в заплахата гарантираха, че вместо да натискат „по-здравословен“ код по време на актуализациите на проекта, както възнамерява Codecov, потребителите вместо това са били обект на кражба на информация, съхранявана в техните среди за непрекъсната интеграция (CI). .

Атаката може също да е позволила на нападателите да “нахлуят в допълнителни ресурси”, според разследващите, привлечени след оповестяването на нарушението – включително идентификационни данни, което в някои случаи може да доведе до по-широк мрежов компромис.

Смята се, че стотици организации може да са се замесили в инцидента със сигурността. Сред известните жертви са Rapid7, Monday.com, Mercari и Twilio.

Обхватът за качване на Codecov в Bash – програмата за изтегляне на Codecov-действия за Github, CircleCl Orb и Bitrise Step – бяха засегнати.

Компанията казва, че с въвеждането на новия качващ файл, всички други специфични за езика качващи устройства ще бъдат амортизирани, като “специално внимание” ще бъде обърнато на Bash uploader по вина.

Codecov работи по програмата за качване на NodeJS в продължение на осем месеца, първоначално, за да намали нарастващата сложност на улесняването на качванията и поддръжката, тъй като клиентската база на Codecov се увеличи.

Сега, когато скриптът Bash е свързан със сериозен инцидент със сигурността, надстройката се превърна в спешна необходимост.

“Избраният механизъм за разпределение (т.е. навиване на тръбата за удряне), макар и невероятно удобен, е известен проблем от гледна точка на сигурността”, каза Codecov. “Слабостите на curl | bash подхода излязоха на преден план през [the] скорошно събитие за сигурност. ”

Новият файл за качване вече е достъпен за обществено ползване под чадъра на Beta и включва по-сигурна, проверима архитектура на разпространение, защити срещу неоторизирана промяна на код и подобрен CI / CD конвейер за провеждане на автоматизирано тестване на устройството за качване на Windows, Linux и macOS .

Codecov се надява да амортизира инструмента за качване на Bash от ноември, с пълен залез на системата, планиран за след 1 февруари 2022 г. Организацията очерта и други подобрения в сигурността след атаките.


? | Сигнал на +447713 025 499 или повече в Keybase: charlie0


Публикациите се превеждат автоматично с google translate

Източник: www.zdnet.com