在此安全更新中,写道黑客获得了对公司脚本的未授权访问并对其进行了修改,从而有可能访问客户持续集成环境中存储的任何凭据、令牌或密钥以及任何服务,然后将访问到的数据发送到外部第三方服务器。
还在三个相关的上载器()中使用:CodecovCircleClOrb和CodecovBitriseStep,它们都受到影响。
根据Codecov的最新声明,他们已经解决了这一漏洞,系统和服务是安全可用的,但仍不确定是谁实施了入侵。
“由于在创建Codecov的Docker映像的过程中出现了错误,黑客获得了访问权限,这使得黑客能够提取修改我们的BashUploader脚本所需的凭据,”Engelberg说。“意识到这个问题后,Codecov立即保护并修复了受影响的脚本,并开始调查对用户的任何潜在影响。”
该公司补充说,他们已经聘请了第三方法医公司来帮助他们分析对用户的影响。同时,这一事件也已上报执法部门,我们正在配合他们。
在对事件进行调查后,该公司确定黑客在今年1月31日开始对其BashUploader脚本进行定期更改。4月1日,当一个客户检测并报告BashUploader的差异时,Codecov被告知违规。
Codecov表示已于4月15日通过邮件将受影响用户发送至Github、Gitlab和Bitbucket存档的邮箱,并在受影响用户登录Codecov后启用通知横幅。该公司表示,使用自主管理版本Codecov的客户不太可能受到影响。
我们强烈建议受影响的用户立即使用Codecov在其中一个BashUploaders的CI流程中重新滚动其环境变量中的所有凭据、令牌或密钥恩格尔伯格说。
路透社指出,这一事件正被与美国政府归咎于俄罗斯对外情报局的大规模网络安全管理软件产品黑客事件相提并论,因为它可能会对各种组织产生影响,而且因为没有攻击它的时间。重要的是,Codecov的范围并不明确。
Codecov表示,已经采取了许多措施来解决安全问题,包括轮换所有相关的内部凭据,设置监控和审计工具以确保威胁行为者无法再次修改BashUploader,以及与第三方主机提供商合作。
相关报道:
据报道,联邦调查人员正在调查****
相关阅读
本文链接:http://www.slxf119.com/16381.html 转载需授权!
网友评论