Koodin testaamiseen käytettävän Codecov-alustan potentiaalisia asiakkaita voivat olla:
Platformin toimitusjohtaja Jerrod Engelberg hänenValituksessa selitettiin, että hyökkääjä sai luvattoman pääsyn yrityksen Bash Uploader -komentosarjaan ja muutti sitä, mikä mahdollisti pääsyn asiakkaan jatkuviin integrointiympäristöihin tallennettuihin tunnistetietoihin, tunnuksiin tai avaimiin sekä palveluihin ja tietovarastoihin. . Saadut tiedot lähetettiin sitten kolmannen osapuolen palvelimelle Codecovin ulkopuolelle.
Yhtiön Bash Uploader -ohjelmaa käytetään myös kolmessa asiaankuuluvassa latausohjelmassa: Godubin Codecov-action-latausohjelmassa, Codecov CircleCl Orbissa ja Codecov Bitrise Step -sovelluksessa. He kaikki kärsivät myös.
”Hakkerit saivat käyttöoikeuden prosessivirheen vuoksiluomalla Docker Codecov -kuvan, joka antoi hänelle mahdollisuuden poimia Bash Uploader -skriptin muokkaamiseen tarvittavat tunnistetiedot ”, Engelberg sanoi. "Heti sen jälkeen, kun asiasta tuli tietoinen, Codecov turvasi ja korjasi haavoittuvan käsikirjoituksen ja aloitti mahdollisten vaikutusten tutkimisen käyttäjille."
Tutkittuaan tapahtuman yrityson todennut, että hyökkääjä on tehnyt ajoittain muutoksia Bash Uploader -komentosarjaan tämän vuoden 31. tammikuuta lähtien. Codecov sai tiedon hakkeroinnista 1. huhtikuuta, kun asiakas havaitsi epäjohdonmukaisuuden Bash Uploaderissa.
”Suosittelemme vahvasti, että ne kärsivätkäyttäjät käyttävät välittömästi uudelleen kaikki tunnistetiedot, tunnukset tai avaimet, jotka sijaitsevat ympäristömuuttujissa CI-prosesseissaan, jotka käyttivät yhtä Codecovin Bash Uploaderista ”, Engelberg totesi.
Katso myös:
- Luonut ensimmäisen tarkan maailman kartan. Mitä vikaa kaikilla muilla on?
- Tutkijat ovat dekoodanneet outoja signaaleja avaruudesta
- Uranus on saanut aurinkokunnan omituisimman planeetan aseman. Miksi?