CodeCov漏洞是否會帶來下一個大型軟件供應(yīng)鏈攻擊事件?

最新消息，軟件審計平臺Codecov遭黑客入侵，該事件可能影響其2.9萬名客戶，并且引發(fā)大量公司連鎖數(shù)據(jù)泄露，造成又一起”供應(yīng)鏈“重大安全危機。

[[394072]]

下游用戶面臨安全危機

1月31日開始，黑客瞄準Codecov，利用Codecov的Docker映像創(chuàng)建過程中出現(xiàn)的錯誤，非法獲得了其Bash Uploader腳本的訪問權(quán)限并且進行了修改。而這意味著攻擊者很有可能導(dǎo)出存儲在Codecov用戶的持續(xù)集成(CI)環(huán)境中的信息，最后將信息發(fā)送到Codecov基礎(chǔ)架構(gòu)之外的第三方服務(wù)器。

嚴格來說，Bash Uploader腳本被篡改，將導(dǎo)致：

• 用戶執(zhí)行Bash Uploader腳本時，通過其CI運行器傳遞的任何憑據(jù)，令牌或密鑰都可以被攻擊者訪問。
• 攻擊者可以使用這些憑據(jù)、令牌或密鑰訪問任何服務(wù)、數(shù)據(jù)存儲和應(yīng)用程序代碼。
• 使用Bash Uploaders將覆蓋范圍上傳到CI中的Codecov的存儲庫的git遠程信息(原始存儲庫的URL)。

此次事件對于Codecov的用戶來說無異于無妄之災(zāi)。首先，Codecov并不是一家公開上市的公司，只有數(shù)十名員工，年收入為數(shù)百萬美元，相比SolarWinds和Microsoft顯得不具備太大的吸引力。因此，可以合理判斷攻擊者入侵該平臺更多是作為供應(yīng)鏈攻擊的考慮，獲取其客戶的訪問權(quán)限對攻擊者來說更有價值。

據(jù)悉，由于Codecov被行業(yè)內(nèi)多家公司用來測試代碼錯誤和漏洞，其客戶包括了消費品集團寶潔公司、網(wǎng)絡(luò)托管公司GoDaddy Inc、華盛頓郵報和澳大利亞軟件公司Atlassian Corporation PLC等。雖然暫時還沒有相關(guān)受害者發(fā)表聲明，但攻擊者很可能已經(jīng)有所”收獲“。

入侵持續(xù)至少2個月

攻擊從1月31日就開始進行，但第一個客戶發(fā)現(xiàn)不對勁時已經(jīng)是4月1日，這表示被入侵的軟件在長達數(shù)月時間里正常流通，潛在受害者無數(shù)。

目前，美國聯(lián)邦調(diào)查局正在調(diào)查此事，但暫時沒有公開對此事進行詳細說明。Codecov則已經(jīng)對可能受影響的腳本進行了保護和修復(fù)，并且給受影響的用戶發(fā)了電子郵件。不過暫時沒有透露這些用戶的信息。

Codecov入侵事件的威脅程度或許可以與SolarWinds黑客事件媲美，而相比以往更為頻繁的供應(yīng)鏈攻擊，進一步證明代碼審查和簽名變得極為重要，而圍繞這些代碼簽名密鑰的存儲和處置的透明性將是建立對渠道信任的關(guān)鍵一步。

最后，建議所有受影響的用戶立即在使用Codecov的BashUploaders程序的CI進程中重新回滾其環(huán)境變量中的所有憑據(jù)、令牌或密鑰。

參考來源：https://about.codecov.io/security-update/