El acceso a cientos de redes es ilegal, ya que Codecov está alcanzando proporciones enormes

En un nuevo informe publicado por Reuters, los investigadores afirman que cientos de redes de varias organizaciones y empresas de todo el mundo se han visto comprometidas en ataques a la cadena de suministro. Para la plataforma Codecov. Esto hace que la escala y la naturaleza del caso sean aún más preocupantes.

Según un informe de BleepingComputer la semana pasada, Codecov sufrió un ataque relativamente pequeño en la cadena de suministro. Cabe mencionar que esta ofensiva se llevó a cabo en silencio durante más de 2 meses antes de ser descubierta. Por lo tanto, el daño que causa definitivamente no es simple.

Cuando Codecov fue atacado a gran escala, se accedió ilegalmente a cientos de redes Figura 1

En este ataque, los atacantes recibieron credenciales de Codecov de una imagen Docker fallida. Luego, los piratas informáticos usaron las imágenes para modificar el script Bash Uploader de Codecov, que es comúnmente utilizado por los clientes de la compañía.

Al reemplazar la dirección IP de Codecov con su propia dirección IP maliciosa en el script Bash Uploader, los atacantes encontraron una manera de permitirles recopilar silenciosamente las credenciales de los clientes. Codecov (tokens, claves API y todo lo almacenado como variables de entorno en el entorno de integración persistente (CI) del lado del cliente) casi no se detecta.

Codecov es una popular plataforma de prueba de software en línea que se puede integrar con proyectos de GitHub para generar informes detallados de códigos y estadísticas. Por eso es especialmente popular entre más de 29.000 empresas de desarrollo de software en todo el mundo.

Cientos de redes de clientes se han visto comprometidas

Una investigación preliminar de Codecov reveló que, a partir del 31 de enero de 2021, hubo cambios no autorizados en el script de Bash Uploader. Esto permite a los participantes de la amenaza robar información de usuario de Codecov almacenada en su entorno de CI.

Sin embargo, Codecov no fue completamente consciente de esta actividad maliciosa hasta el 1 de abril, cuando los clientes notaron una diferencia entre el hash (shashum) del script Bash Uploader alojado en el dominio de Codecov y la función. Los correctos se enumeran en el GitHub de la empresa.

Poco después, el incidente llamó la atención de los investigadores federales de Estados Unidos. La vulnerabilidad se comparó con el reciente ataque "notorio" de SolarWinds, que el gobierno de EE. UU. culpó a la inteligencia extranjera rusa (SVR).

Codecov tiene más de 29.000 clientes en todo el mundo, incluidos grandes nombres como GoDaddy, Atlassian, The Washington Post, Procter & Gamble (P&G) y otros, lo que hace que este sea un evento muy preocupante para la cadena de suministro.

Según los investigadores federales, los atacantes de Codecov han implementado procesos automatizados para usar las credenciales que recopilan para operar la red de cientos de clientes de Codecov. Por esta razón, la violación se extiende incluso más allá del sistema Codecov.

Los investigadores dicen que los piratas informáticos pudieron obtener credenciales para miles de otros sistemas al hacer un mal uso de las credenciales de los clientes recopiladas a través de un script Bash Uploader.

Investigación de impacto

Debido a la gravedad y las consecuencias de largo alcance del incidente, los investigadores del gobierno federal de los EE. UU. intervinieron y están considerando seriamente el caso.

Figura 2 Cuando Codecov fue atacado a gran escala, se accedió ilegalmente a cientos de redes

Varios grandes clientes de Codecov, incluido IBM, dijeron que su código no había cambiado, pero se negaron a comentar si sus sistemas estaban dañados.

Hewlett Packard Enterprise (HPE), uno de los otros 29.000 clientes de Codecov, dijo que continuaba investigando el incidente:

"HPE tiene un equipo dedicado de expertos que investigan este problema, y ​​los clientes pueden estar seguros de que seremos notificados de cualquier impacto tan pronto como sea posible y de la acción correctiva necesaria. Más información."

La Oficina Federal de Investigaciones (FBI) y el Departamento de Seguridad Nacional de EE. UU. (DHS) no han podido comentar sobre la investigación hasta el momento.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir
error: Content is protected !!