代码测试平台Codecov遭持续入侵，漏洞利用长达数月

Posted 2021-09-14 代码熬夜敲

CodeCov漏洞是否会带来下一个大型软件供应链攻击事件？

最新消息，软件审计平台Codecov遭黑客入侵，该事件可能影响其2.9万名客户，并且引发大量公司连锁数据泄露，造成又一起”供应链“重大安全危机。

下游用户面临安全危机
1月31日开始，黑客瞄准Codecov，利用Codecov的Docker映像创建过程中出现的错误，非法获得了其Bash Uploader脚本的访问权限并且进行了修改。而这意味着攻击者很有可能导出存储在Codecov用户的持续集成（CI）环境中的信息，最后将信息发送到Codecov基础架构之外的第三方服务器。

1618803869_607cfc9da213e95995384.png!small?1618803871122

严格来说，Bash Uploader脚本被篡改，将导致：

用户执行Bash Uploader脚本时，通过其CI运行器传递的任何凭据，令牌或密钥都可以被攻击者访问。

攻击者可以使用这些凭据、令牌或密钥访问任何服务、数据存储和应用程序代码。

使用Bash Uploaders将覆盖范围上传到CI中的Codecov的存储库的git远程信息（原始存储库的URL）。

此次事件对于Codecov的用户来说无异于无妄之灾。首先，Codecov并不是一家公开上市的公司，只有数十名员工，年收入为数百万美元，相比SolarWinds和Microsoft显得不具备太大的吸引力。因此，可以合理判断攻击者入侵该平台更多是作为供应链攻击的考虑，获取其客户的访问权限对攻击者来说更有价值。

据悉，由于Codecov被行业内多家公司用来测试代码错误和漏洞，其客户包括了消费品集团宝洁公司、网络托管公司GoDaddy Inc、华盛顿邮报和澳大利亚软件公司Atlassian Corporation PLC等。虽然暂时还没有相关受害者发表声明，但攻击者很可能已经有所”收获“。

入侵持续至少2个月
攻击从1月31日就开始进行，但第一个客户发现不对劲时已经是4月1日，这表示被入侵的软件在长达数月时间里正常流通，潜在受害者无数。

目前，美国联邦调查局正在调查此事，但暂时没有公开对此事进行详细说明。Codecov则已经对可能受影响的脚本进行了保护和修复，并且给受影响的用户发了电子邮件。不过暂时没有透露这些用户的信息。

1618803862_607cfc96a2db49aa0fbf0.png!small?1618803864038

Codecov入侵事件的威胁程度或许可以与SolarWinds黑客事件媲美，而相比以往更为频繁的供应链攻击，进一步证明代码审查和签名变得极为重要，而围绕这些代码签名密钥的存储和处置的透明性将是建立对渠道信任的关键一步。

最后，建议所有受影响的用户立即在使用Codecov的BashUploaders程序的CI进程中重新回滚其环境变量中的所有凭据、令牌或密钥。