Codecov, een bedrijf dat softwareauditingdiensten aanbiedt, is slachtoffer geworden van een hack. De aanvaller lijkt in staat geweest te zijn om de software van het bedrijf aan te passen. De Amerikaanse overheid is een onderzoek gestart.
In een mededeling over de hack vertelt Codecov dat het bedrijf er op 1 april 2021 achterkwam dat iemand ongeautoriseerde toegang heeft gehad tot het Bash Uploader-script van het bedrijf en er aanpassingen aan heeft aangebracht. De aanvaller heeft misbruik gemaakt van een foutje in het proces waarmee Codecov Docker-images aanmaakte en wist zo toegangsrechten te bemachtigen om het Bash Uploader-script aan te passen.
Ongeautoriseerde aanpassingen
Uit onderzoek blijkt dat de aanvaller al sinds 31 januari 2021 af en toe ongeautoriseerde aanpassingen aan het Bash Uploader-script uitvoerde. Hiermee kon de aanvaller “potentieel informatie exporteren” die was opgeslagen op de continious integration (CI)-omgevingen van de 29.000 gebruikers van Codecov. Die informatie werd geëxporteerd naar een externe server buiten de infrastructuur van Codecov. De Bash Uploader is ook gebruikt in andere uploaders van Codecov, zoals die voor GitHub, CircleCI en Bitrise. Ook deze uploaders zijn door de aanval aangetast.
Als gevolg had de aanvaller mogelijk toegang tot alle code die door de uploaders verwerkt werd, waaronder toegangscodes. Ook andere diensten die met deze codes toegankelijk waren, zijn daarom kwetsbaar. Ook informatie over de git-repository’s waar de Bash Uploader op aangesloten was, is mogelijk uitgelekt.
Adviezen voor gebruikers
Gebruikers van Codecov worden aangeraden om alle toegangscodes die door hun software gebruikt is, aan te passen. Daarnaast wordt geadviseerd om bashbestanden van Codecov te vervangen met de nieuwste versies, waaruit de malafide code is verwijderd. Codecov heeft zelf uiteraard ook de nodige stappen ondernomen om de gevolgen van de hack zo goed als mogelijk te beperken en om een vergelijkbaar incident in de toekomst niet nogmaals te laten gebeuren.
Mogelijk vergelijkbaar met SolarWinds-hack
De hack kan vergelijkbare gevolgen hebben als de hack op SolarWinds. Daarbij wisten aanvallers een backdoor toe te voegen aan de software van SolarWinds, waardoor die toegang kregen tot alle computers waar die software op geïnstalleerd was. De hackers van Codecov wisten vergelijkbare toegangsrechten te bemachtigen en konden maandenlang ongemerkt aanpassingen doorvoeren.
Onderzoeken gestart
Ook de Amerikaanse overheid bemoeit zich inmiddels met de zaak, zo weet Reuters te bevestigen. Details over het onderzoek zijn echter niet bekend. Ook Atlassian vertelt een onderzoek naar de situatie gestart te zijn, maar verklaart nog geen tekenen van aantastingen gevonden te hebben. Reuters heeft verder nog contact gezocht met P&G, GoDaddy en The Post, maar kreeg daar geen reactie van.
2 uur geleden
