Σύμφωνα με την Datadog, μια cloud security εταιρεία, ένα από τα signing key (κλειδιά υπογραφής) RPM (γνωστά και ως Red-hat Package Manager) GPG και το «συνθηματικό» της εκτέθηκε κατά τη διάρκεια ενός πρόσφατου info-stealing hack με θύμα την CircleCi.
– Μια υπογραφή RPM, όπως και η ψηφιακή υπογραφή που χρησιμοποιείται σε πολλά άλλα συστήματα υπογραφής λογισμικού, είναι μια κρυπτογράφηση ενός checksum με ιδιωτικό κλειδί. Η RPM χρησιμοποιεί τις βιβλιοθήκες GPG για την υπογραφή. –
Η εταιρεία δεν έχει βρει κανένα στοιχείο που να δείχνει ότι το κλειδί όντως διέρρευσε ή χρησιμοποιήθηκε με κάποιο κακόβουλο τρόπο, παρ’ όλα αυτά, η εταιρεία λαμβάνει προληπτικά μέτρα.
Δείτε επίσης: Κακόβουλα πακέτα PyPi ‘Lolip0p’ εγκαθιστούν info-stealing malware
Μετά την επίθεση που έγινε στην CircleCi, η Datadog κυκλοφόρησε μια updated έκδοση του Agent 5 RPM για CentOS/RHEL (διανομή Linux), η οποία είναι signed με νέο κλειδί. Δημιουργήσαν επίσης ένα script εγκατάστασης Linux που εξαλείφει το παραβιασμένο κλειδί από το repository αρχείο της Datadog και τη βάση δεδομένων του RPM.
Το repository της Datadog δεν έχει παραβιαστεί
Aκόμη και αν ο επιτιθέμενος κατάφερνε να αποκτήσει το signing key και να δημιουργήσει ένα κακόβουλο πακέτο RPM, δεν θα ήταν σε θέση να στοχεύσει τους πελάτες της Datadog.
Θα χρειαζόταν πρόσβαση στα επίσημα repositories, κάτι το οποίο η εταιρεία δήλωσε πως δεν έχει συμβεί και ότι το signing key, αν όντως έχει διαρρεύσει – θα μπορούσε να χρησιμοποιηθεί μόνο για τη δημιουργία ενός πακέτου που μόνο θα φαινόταν οτι προέρχεται από την ίδια την Datadog.
Η Datadog συμβουλεύει τους πελάτες να διασφαλίσουν ότι τα συστήματά τους να σταματήσουν να «εμπιστεύονται» το επηρεαζόμενο signing key, να το διαγράψουν και να επαληθεύσουν ότι όλα τα εγκατεστημένα πακέτα έχουν κατασκευαστεί από την ίδια την εταιρεία χρησιμοποιώντας τις οδηγίες που παρέχονται.
Δείτε επίσης:
Η Datadog δημοσίευσε αυτές τις πληροφορίες στη «documentation» σελίδα της ως “Συχνές Ερωτήσεις”, η οποία δεν βρίσκεται φανερά στο site της εταιρείας, δίπλα στο τμήμα με τις υπόλοιπες συχνές ερωτήσεις για παράδειγμα.
Το BleepingComputer σε μια αναζήτηση που έκανε δεν μπόρεσε να εντοπίσει τη σελίδα, καθώς η Datadog έχει βάλει «τιμές» στα metadata tags “noindex” και “nofollow“.
Όταν απευθύνθηκαν στην Datadog για περισσότερες πληροφορίες, δεν ήταν σε θέση να δώσουν κάποιο σχόλιο, καθώς δεν υπήρχε διαθέσιμος εκπρόσωπος εκείνη τη στιγμή.
Ένα ντόμινο εξελίξεων έχει ξεκινήσει, ένα info-stealing malware που κατάφερε να κλέψει ένα session cookie από το laptop ενός από τους μηχανικούς της CircleCi. Μένει να δούμε τη συνέχεια.
Πηγή πληροφοριών: bleepingcomputer.com
