HashiCorp revela exposición de clave privada de firma de código

HashiCorp, una empresa de código abierto cuyo producto Terraform se usa ampliamente para implementaciones automatizadas en la nube, ha revelado que una clave privada de firma de código fue expuesta gracias a un script comprometido de Codecov. Codecov, que proporciona herramientas para evaluar qué parte del código de una aplicación está sujeto a pruebas unitarias, informó que […]

HashiCorp, una empresa de código abierto cuyo producto Terraform se usa ampliamente para implementaciones automatizadas en la nube, ha revelado que una clave privada de firma de código fue expuesta gracias a un script comprometido de Codecov.

Codecov, que proporciona herramientas para evaluar qué parte del código de una aplicación está sujeto a pruebas unitarias, informó que un script utilizado para cargar datos en sus servidores se modificó para exportar las credenciales al servidor de un atacante. La empresa dijo que “no ha podido determinar de manera concluyente quién llevó a cabo el evento”.

HashiCorp, uno de los 29.000 clientes de Codecov, ha confirmado que estaba entre los afectados. Específicamente, dijo que “un subconjunto de las tuberías de CI de HashiCorp utilizó el componente Codecov afectado” y “la clave privada GPG utilizada para firmar hashes utilizados para validar las descargas de productos de HashiCorp … fue expuesta”.

La exposición significa que potencialmente el atacante podría haber modificado los productos de HashiCorp mientras los firmaba con una clave genuina, pero la compañía dijo que “la investigación no ha revelado evidencia de uso no autorizado”. Ha validado las versiones existentes, revocó la clave expuesta y volvió a firmar sus descargas con una nueva clave.

El compromiso de la secuencia de comandos de Codecov estuvo vigente durante un largo período, a partir del 31 de enero, y hubo una serie de versiones modificadas. Codecov ha dado detalles de la última versión manipulada, pero dijo que “hubo alteraciones periódicas no autorizadas de nuestro script Bash Uploader por parte de un tercero”, por lo que existe incertidumbre sobre los ataques utilizados en versiones anteriores.

Incertidumbre continua

Una segunda preocupación es que el atacante puede haber utilizado credenciales recolectadas para futuras incursiones de las que actualmente no sabemos nada. Las credenciales que se robaron fueron las que se almacenaron en variables ambientales en máquinas o contenedores utilizados como parte de un proceso de CI (Integración continua), que podría incluir claves de API, inicios de sesión de bases de datos o (como en el ejemplo de HashiCorp) certificados criptográficos. El objetivo de robar credenciales es permitir más ataques.

En tercer lugar, el alcance de las herramientas de HashiCorp en la informática empresarial es enorme, más grande que el de Codecov. A principios de este mes, la compañía dijo, en el contexto de un nuevo lanzamiento de su producto de gestión de secretos Vault, que “casi el 25% de las empresas Fortune 500 y el 70% de los 20 bancos más grandes de EE. UU. Confían en Vault para proteger sus datos más confidenciales”.

Si bien no hay ninguna sugerencia en el informe de HashiCorp de que sus productos se hayan visto comprometidos, el hecho de que estuviera ejecutando un script de robo de credenciales como parte del proceso de compilación de algunos de sus productos sigue siendo motivo de preocupación.