Codecov黑客獲得了Monday.com源代碼的訪問(wèn)權(quán)限
Monday.com最近披露了Codecov供應(yīng)鏈攻擊的影響,該攻擊已經(jīng)影響了多家公司。
http://monday.com最初叫做Dapulse,是Wix的內(nèi)部通訊工具。Dapulse的客戶遍布全球85個(gè)國(guó)家,擁有4500多名付費(fèi)用戶。但作為一個(gè)業(yè)務(wù)范圍遍布全球的管理公司,Dapulse公司的品牌卻飽受詬病。不光國(guó)外用戶不知“Dapulse”何意,就連本國(guó)客戶也對(duì)“Dapulse”的含義表示不解。
隨后Dapulse收購(gòu)域名http://Monday.com。http://Monday.com讓中小型企業(yè)可以在無(wú)代碼的環(huán)境中構(gòu)建自定義工作流應(yīng)用程序以運(yùn)行項(xiàng)目,流程和日常工作。該公司還向希望在平臺(tái)之上構(gòu)建應(yīng)用程序的開(kāi)發(fā)人員開(kāi)放平臺(tái)。
http://monday.com 是一個(gè)兼容性頗為優(yōu)秀的效率工具,它可以給自由設(shè)計(jì)師來(lái)管理項(xiàng)目,也可以對(duì)需要多人團(tuán)隊(duì)協(xié)同的項(xiàng)目進(jìn)行管理。目前該平臺(tái)的客戶包括Uber,BBC Studios,Adobe,Universal,Hulu,歐萊雅,可口可樂(lè)和聯(lián)合利華等知名公司。
根據(jù)BleepingComputer上個(gè)月的報(bào)道,流行的代碼覆蓋工具Codecov成為持續(xù)了兩個(gè)月的供應(yīng)鏈攻擊的受害者。
在這兩個(gè)月的時(shí)間內(nèi),攻擊者已經(jīng)修改了合法的Codecov Bash Uploader工具,以從Codecov客戶的CI / CD環(huán)境中竊取環(huán)境變量(包含敏感信息,例如密鑰,令牌和憑據(jù))。
據(jù)報(bào)道,Codecov攻擊者使用來(lái)自被篡改的Bash Uploader的憑據(jù),攻破了數(shù)百個(gè)客戶網(wǎng)絡(luò)。
在Codecov攻擊中訪問(wèn)Monday.com的源代碼
Codecov客戶Monday.com最近宣布受到Codecov供應(yīng)鏈攻擊的影響。
在本周提交給美國(guó)證券交易委員會(huì)(SEC)的一份表格中,該公司分享了周一網(wǎng)站首次公開(kāi)募股(IPO)的細(xì)節(jié)。
在對(duì)Codecov違規(guī)行為進(jìn)行調(diào)查后,Monday.com發(fā)現(xiàn)未經(jīng)授權(quán)的攻擊者可以訪問(wèn)其源代碼的只讀副本。
但是,該公司表示,到目前為止,還沒(méi)有證據(jù)表明攻擊者篡改了源代碼,或其任何產(chǎn)品受到影響。
此外,該公司表示:
“攻擊者確實(shí)訪問(wèn)了一個(gè)包含特定URL列表的文件,這些URL指向我們平臺(tái)托管的公開(kāi)廣播的客戶表單和視圖,并且我們已與相關(guān)客戶聯(lián)系,告知他們?nèi)绾沃匦律蛇@些URL。” |
目前,盡管該公司仍在繼續(xù)調(diào)查,但也沒(méi)有跡象表明Monday.com客戶的數(shù)據(jù)已受到此事件的影響。
在本周提交給SEC的文件披露之前,Monday.com曾表示,在Codecov事件發(fā)生后,他們刪除了Codecov對(duì)其環(huán)境的訪問(wèn)權(quán)限,并完全停止了該服務(wù)的使用。
Monday.com的安全團(tuán)隊(duì)在上周的博客文章中說(shuō):
“得知此問(wèn)題后,我們立即采取了緩解措施,包括撤銷(xiāo)對(duì)Codecov的訪問(wèn),停止使用Codecov的服務(wù),輪換monday.com所有運(yùn)營(yíng)和開(kāi)發(fā)環(huán)境的密鑰,以及聘請(qǐng)領(lǐng)先的網(wǎng)絡(luò)安全法醫(yī)專家來(lái)協(xié)助我們進(jìn)行調(diào)查。 ” |
Monday.com是Codecov入侵的眾多受害者之一
Monday.com不是第一家或唯一一家受到Codecov供應(yīng)鏈攻擊影響的公司。雖然Codecov的攻擊在兩個(gè)月的時(shí)間里沒(méi)有被發(fā)現(xiàn),但在它被發(fā)現(xiàn)后,攻擊仍在繼續(xù)展開(kāi)。
Codecov事件時(shí)間線(BleepingComputer)
正如本周BleepingComputer報(bào)道的那樣,美國(guó)網(wǎng)絡(luò)安全公司Rapid7透露,他們的某些源代碼存儲(chǔ)庫(kù)和憑據(jù)已被Codecov攻擊者訪問(wèn)。
上個(gè)月,HashiCorp宣布他們的GPG私鑰在攻擊中被暴露。該密鑰已用于簽名和驗(yàn)證軟件版本,因此必須更改。
云通信平臺(tái)Twilio、云服務(wù)提供商Confluent和保險(xiǎn)公司Coalition也報(bào)告稱,Codecov攻擊者訪問(wèn)了他們的私人存儲(chǔ)庫(kù)。
從那時(shí)起,其他幾個(gè)Codecov客戶端不得不輪換其憑據(jù)。它們是否受到影響以及以何種身份受到影響仍然是一個(gè)謎。
在Codecov發(fā)現(xiàn)漏洞之前,Bash Uploader已經(jīng)被數(shù)千個(gè)開(kāi)源項(xiàng)目使用:
使用Codecov Bash Uploader的數(shù)千個(gè)存儲(chǔ)庫(kù)
由于Codecov攻擊行為已與SolarWinds供應(yīng)鏈攻擊進(jìn)行了比較,因此美國(guó)聯(lián)邦調(diào)查人員已介入調(diào)查其全部影響。
Monday.com表示:
“截至本招股說(shuō)明書(shū)發(fā)布之日,我們沒(méi)有發(fā)現(xiàn)任何證據(jù)表明,對(duì)我們的源代碼進(jìn)行了任何未經(jīng)授權(quán)的修改,對(duì)我們的產(chǎn)品也沒(méi)有任何影響。然而,如果發(fā)現(xiàn)與Codecov網(wǎng)絡(luò)攻擊有關(guān)的新信息或不同信息,包括涉及其范圍和對(duì)我們IT環(huán)境的任何潛在影響,包括關(guān)于我們或我們客戶的專有信息或敏感或機(jī)密數(shù)據(jù)的丟失、意外披露或未經(jīng)批準(zhǔn)傳播,或者我們?cè)创a中的漏洞,可能會(huì)導(dǎo)致我們的訴訟和潛在責(zé)任,損害我們的品牌和聲譽(yù),對(duì)我們的銷(xiāo)售產(chǎn)生負(fù)面影響,或損害我們的業(yè)務(wù)。任何索賠或調(diào)查都可能導(dǎo)致我們承擔(dān)重大的外部和內(nèi)部法律和咨詢成本,以及管理層從我們的業(yè)務(wù)運(yùn)營(yíng)中轉(zhuǎn)移注意力。” |
上個(gè)月,Codecov開(kāi)始向受影響的客戶發(fā)送其他通知,并披露了完整的危害指標(biāo)(IOC)列表,即與該供應(yīng)鏈攻擊相關(guān)的攻擊者IP地址。
Codecov用戶應(yīng)該掃描他們的CI/CD環(huán)境和網(wǎng)絡(luò),尋找任何被攻擊的跡象。
本文翻譯自:
https://www.bleepingcomputer.com/news/security/codecov-hackers-gained-access-to-mondaycom-source-code/