انتشار شده در تاریخ 1400/02/02 - 12:39

نقض امنیتی شرکت تست کد نرم افزاری Codecov

مقامات فدرال اعلام کردند که در سیستم اصلی شرکت تست کد نرم افزاری Codecov یک ایراد امنیتی بسیار عجیب پیدا شده است.

به گزارش کارگروه امنیت سایبربان ، به نقل از رویترز، مقامات فدرال در حال بررسی نقض امنیت در شرکت ممیزی نرم افزار Codecov هستند که ظاهرا ماه‌ها بدون شناسایی بوده است. از پلتفرم Codecov برای تست کد نرم افزار برای آسیب رساندن استفاده می‌شود و ۲۹۰۰۰ مشتری آن شامل Atlassian، Proctor & Gamble، GoDaddy و Washington Post هستند. جرارد انگلبرگ، مدیر عامل شرکت Codecov در بیانیه‌ای در وب سایت این شرکت، وجود نقض در سیستم این نرم افزار و تحقیقات فدرال را تأیید و اعلام کرد که کسی به اسکریپت Bash Uploader دسترسی پیدا کرده و آن را بدون اجازه شرکت اصلاح کرده است.

انگلبرگ در ادامه نوشت: "تحقیقات ما مشخص کرده است که از ابتدای ۳۱ ژانویه ۲۰۲۱، تغییرات متناوب و غیر مجاز اسکریپت Bash Uploader ما توسط شخص ثالث وجود دارد، که به آن‌ها امکان می‌دهد اطلاعات ذخیره شده در محیط‌های ادغام مداوم کاربران (CI) را صادر کنند. "این اطلاعات سپس به یک سرور شخص ثالث خارج از زیرساخت Codecov ارسال شد. "

هرگونه اطلاعات کاربری کاربران در دسترس خواهد بود
هرگونه اطلاعات کاربری، رمز یا کلیدی که مشتریان ما از طریق CI runner خود عبور می‌کنند که با اجرای اسکریپت Bash Uploader قابل دسترسی خواهد بود. هر سرویس، دیتاست و کد برنامه‌ای که با این اعتبارنامه‌ها، رمز‌ها یا کلید‌ها قابل دسترسی است. اطلاعات git از راه دور (URL مخزن مبدا) مخازن با استفاده از بارگذاران Bash برای بارگذاری پوشش در Codecov در CI وجود دارد. اگرچه این نقض در ژانویه رخ داده است، اما تا اول آوریل کشف نشده است. انگلبرگ نوشت: "بلافاصله پس از آگاهی از این موضوع، Codecov نسخه امنیتی که احتمالاً تحت تأثیر آن قرار داشت را ایمن و اصلاح کرد و تحقیق در مورد میزان تأثیرگذاری کاربران را آغاز کرد."

شرکت Codecov نمی‌داند چه کسی مسئول این هک است، اما یک شرکت پزشکی قانونی شخص ثالث را برای کمک به آن در تعیین چگونگی تأثیر کاربران استخدام کرده است و موضوع را به پلیس گزارش داد. این شرکت از طریق ایمیل کاربران متأثر، که Codecov نامی از آن‌ها برده است، به آن‌ها اطلاع می‌دهد.

انگلبرگ افزود: "ما به شدت به کاربران آسیب دیده توصیه می‌کنیم که بلافاصله تمام اطلاعات کاربری، رمز‌ها یا کلید‌های موجود در متغیر‌های محیط را در فرآیند‌های CI خود که از یکی از آپلودکننده‌های Bash Codecov استفاده می‌کند، دوباره جمع کنند. "

در حالی که وسعت نقض Codecov نامشخص است، رویترز خاطرنشان می‌کند که به طور بالقوه می‌تواند تأثیر مشابه و گسترده‌ای مانند هک SolarWinds در اواخر سال گذشته داشته باشد. در این نقض، هکر‌های مرتبط با دولت روسیه نرم افزار نظارت و مدیریت SolarWinds را به خطر انداختند. اعتقاد بر این است که ۲۵۰ نهاد تحت تأثیر نقض SolarWinds از جمله Nvidia، Cisco و Belkin قرار گرفته‌اند. سازمان‌های خزانه داری، بازرگانی، امور خارجه، انرژی و امنیت آمریکا نیز تحت تأثیر قرار گرفتند.