Codecov-Tool gehackt – Entwickler-Zugangsdaten wohl abgezogen

Nächster Lieferkettenangriff mit gravierenden Folgen. Das beliebte Tool code coverage von Codecov, mit dem Entwickler Code auditieren können, wurde bereits im Januar 2021 gehackt. Mutmaßlich war das Ziel, die Zugangsdaten der Entwickler abzugreifen. Ergänzung: Inzwischen wurde bekannt, dass hunderte von Kundennetzwerken wohl gehackt wurden.


Anzeige

Der Anbieter Codecov bietet mit code coverage eine Online-Plattform für gehostete Code-Testing-Berichte und -Statistiken. Der Anbieter gab am Donnerstag bekannt, dass ein Bedrohungsakteur sein Bash-Uploader-Skript modifiziert hat, wodurch sensible Informationen in der Continuous-Integration-Umgebung (CI) von Kunden offengelegt wurden. Hier ein Tweet vom 15. April 2021.

Codecov-Hack

US-Bundesermittler untersuchen laut Reuters den Hack bei der in San Francisco ansässigen Software-Audit-Firma Codecov. Es dürfte eine unbekannte Anzahl der 29.000 Kunden von diesem Hack betroffen sein. In einem Statement schreibt die Firma dazu:

Bash Uploader Security Update

Note: If you are in the affected user group, at 6 am PT, Thursday, April 15th, we emailed your email address on file from GitHub / GitLab / Bitbucket and added a notification banner in the Codecov application after you log in.

About the Event

Codecov takes the security of its systems and data very seriously and we have implemented numerous safeguards to protect you. On Thursday, April 1, 2021, we learned that someone had gained unauthorized access to our Bash Uploader script and modified it without our permission. The actor gained access because of an error in Codecov's Docker image creation process that allowed the actor to extract the credential required to modify our Bash Uploader script.

Immediately upon becoming aware of the issue, Codecov secured and remediated the affected script and began investigating any potential impact on users. A third-party forensic firm has been engaged to assist us in this analysis. We have reported this matter to law enforcement and are fully cooperating with their investigation.

Our investigation has determined that beginning January 31, 2021, there were periodic, unauthorized alterations of our Bash Uploader script by a third party, which enabled them to potentially export information stored in our users' continuous integration (CI) environments. This information was then sent to a third-party server outside of Codecov's infrastructure.

The Bash Uploader is also used in these related uploaders: Codecov-actions uploader for Github, the Codecov CircleCl Orb, and the Codecov Bitrise Step (together, the "Bash Uploaders"). Therefore, these related uploaders were also impacted by this event.

The altered version of the Bash Uploader script could potentially affect:

  • Any credentials, tokens, or keys that our customers were passing through their CI runner that would be accessible when the Bash Uploader script was executed.
  • Any services, datastores, and application code that could be accessed with these credentials, tokens, or keys.
  • The git remote information (URL of the origin repository) of repositories using the Bash Uploaders to upload coverage to Codecov in CI.

Seit dem 31. Januar 2021 gab es wohl periodische Änderungen am code coverage Bash Uploader-Script. Aufgefallen ist erst am 1. April 2021, dass unbefugte Dritte Zugriff auf dieses Script hatten und dieses modifizieren konnten. Ein Angreifer erlangte aufgrund eines Fehlers in Codecovs Docker-Image-Erstellungsprozess Zugriff auf die erforderlichen Anmeldeinformationen, und konnte so das Bash-Uploader-Skript ändern.


Anzeige

Unmittelbar nach Bekanntwerden des Problems hat Codecov das betroffene Skript gesichert und behoben und begonnen, mögliche Auswirkungen auf die Benutzer zu untersuchen. Eine externe forensische Firma wurde beauftragt, die Betreiber bei dieser Analyse zu unterstützen. Die Firma hat diese Angelegenheit den Strafverfolgungsbehörden gemeldet und gibt an, die betroffenen Benutzer, deren Zugangsdaten ebenfalls abgegriffen wurden, per E-Mail informiert zu haben. Die Implikationen sind mir noch nicht klar, könnten über diese Zugangsdaten doch eine Reihe an Projekten auf den oben erwähnten Quellcode-Repository-Plattformen kompromittiert worden sein. Weitere Hinweise finden sich bei Reuters, auf der Seite von Codecov zum Hack, sowie bei Bleeping Computer.

Hunderte Kunden gehackt

Ergänzung zum 20.4.2021: Inzwischen wurde bekannt, dass hunderte von Kundennetzwerken wohl gehackt wurden.

Codecov Massenhack von Kunden

Die Kollegen von Bleeping Computer haben das über obigen Tweet aufgegriffen und in diesem Beitrag aufbereitet. Das Ganze erinnert fatal an den SolarWinds-Hack , der auf einen Lieferkettenangriff bei Orion zurückging und die Auslieferung von Schadsoftware als Software-Update ermöglichte.

Quellen haben gegenüber Bleeping Computer angegeben, dass Hunderte von Kundennetzwerken kompromittiert wurden, nachdem die Angreifer mutmaßlich Zugangsdaten über das Bash Uploader-Script von Codecov abziehen konnten. Zu den 29.000 Codecov-Kunden gehören IBM, Hewlet Packard Enterprise (HPE) und viele mehr. Aktuell untersuchen das Federal Bureau of Investigation (FBI) , das U.S. Department of Homeland Security (DHS) und natürlich die betroffenen Firmen, wie weit die Angriffe gehen. Ich bin mal gespannt, was da noch ans Licht kommt.

Zu schnelle Entwicklungszyklen

Von Sicherheitsanbieter CheckPoint ist mir noch ein Kommentar zum Ganze zugegangen. Denn ist nach dem SolarWinds Sunburst-Hack jetzt der zweite große Supply-Chain-Angriff binnen weniger Wochen, der bekannt ist.

Following the SolarWinds Sunburst attack, this is another Supply Chain Hack that further highlights the security challenges resulting from the rapid-release cycles that are typical of modern application development and deployment, also known as the DevOps movement. Organizations need to be aware that the use of public code repositories and development platforms, while necessary, carries inherent risk. In many cases, applications are developed either without proper security controls in place, or at best with security being bolted on at the end of the development cycle as an afterthought.

As a security best practice, Check Point strongly recommends our customers to extend their DevOps workflow to ensure that security features are automatically integrated into an application from the beginning. This is known as Shifting Left, and involves not only a mindset change, but also equipping the development team with automated security tools such as Code Scanning, Container Image Scanning and Runtime Protection. Shifting Left allows for security to become a seamless and frictionless part of the development workflow and ensures accurate identification and remediation of any vulnerabilities and threats.

Ich fasse es mal etwas hemdsärmelig zusammen: Die Sicherheitsherausforderungen, die sich aus den schnellen Release-Zyklen ergeben, die typisch für die moderne Anwendungsentwicklung und -bereitstellung sind, auch bekannt als DevOps-Bewegung, sind offenbar eine zu große Herausforderung für die Leute. Stellt sich für mich als Kunde die Frage: Nutzt mit das Ganze DevOps-Zeug eigentlich noch was? Die Zahl der Bugs nimmt zu, wir sehen Lieferkettenangriffe und sinnvolle neue Funktionen gibt es leider auch selten. Irgendwie geht momentan alles, zumindest gefühlt, den Bach runter.


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu Codecov-Tool gehackt – Entwickler-Zugangsdaten wohl abgezogen

  1. Volko sagt:

    Wäre es denkbar, dass hier unter Umständen die Ursache für die erfolgreiche Kompromittierung des Updateservers beim Angriff auf Gigaset liegt?
    In der Tat wird es sehr spannend, was hier im weiteren Verlauf noch alles ans Tageslicht kommen wird!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.