image

Deel broncode securitybedrijf Rapid7 ingezien via Codecov-backdoor

vrijdag 14 mei 2021, 10:09 door Redactie, 3 reacties

Een deel van de broncode van securitybedrijf Rapid7 is ingezien door de aanvaller achter de Codecov-backdoor. Ook kreeg de aanvaller toegang tot interne inloggegevens en waarschuwingsgerelateerde gegevens voor een deel van de klanten. Dat heeft het bedrijf zelf in een blogposting bekendgemaakt.

Codecov ontwikkelt tools voor het auditen van software. Zo kunnen softwareontwikkelaars kijken hoeveel van hun code door interne testscripts is getest. Eén van deze tools is Bash Uploader, die onder andere met GitHub-projecten is te integreren. Volgens Codecov wordt de tool door meer dan 29.000 bedrijven wereldwijd gebruikt.

Begin dit jaar wisten aanvallers de ontwikkelomgeving van Bash Uploader te compromitteren en voegden code toe die inloggegevens, tokens, keys en andere data steelt zodra de tool binnen de ontwikkelomgeving wordt uitgevoerd. Vervolgens werden deze gegevens naar een server van de aanvallers gestuurd.

Rapid7 maakte naar eigen zeggen op één server gebruik van de Codecov-tool. Hierop werd interne tooling ontwikkeld en getest voor de Managed Detection and Response (MDR) service die het bedrijf aan klanten aanbiedt. Via de backdoor kreeg de aanvaller toegang tot een deel van de broncode voor de interne tooling achter de MDR-service. De repositories die door de aanvaller zijn benaderd bleken tevens interne inloggegevens en waarschuwingsgerelateerde data voor een deel van de MDR-klanten te bevatten. Deze klanten zijn inmiddels over het incident ingelicht.

Bronnen lieten eerder tegenover persbureau Reuters weten dat honderden bedrijven slachtoffer van de supply-chain-aanval zijn geworden. Het gaat onder andere om cloudcommunicatieplatform Twilio en softwarebedrijf HashiCorp. De laatstgenoemde besloot vanwege het incident om de GPG private key die het gebruikt voor het signeren van software te vervangen omdat aanvallers hier toegang toe hebben gekregen. Recentelijk deelde Codecov nog nieuwe Indicators of Compromise (IOCs) die organisaties kunnen gebruiken om te kijken of ze ook slachtoffer zijn geworden.

Reacties (3)
14-05-2021, 11:26 door Anoniem
Wat is dit nou voor sensatie kop, het lijkt de telegraaf wel! De suggestie wordt gewekt dat de broncode van oplossingen van Rapid7 inzichtelijk is geweest maar het betreft een interne server die wat broncode bevatte van wat zelfgemaakte tooling door het SOC.

https://www.rapid7.com/blog/post/2021/05/13/rapid7s-response-to-codecov-incident/
14-05-2021, 18:20 door karma4
Door Anoniem: Wat is dit nou voor sensatie kop, het lijkt de telegraaf wel! De suggestie wordt gewekt dat de broncode van oplossingen van Rapid7 inzichtelijk is geweest maar het betreft een interne server die wat broncode bevatte van wat zelfgemaakte tooling door het SOC.
https://www.rapid7.com/blog/post/2021/05/13/rapid7s-response-to-codecov-incident/
Het is geheel in stijl met de kwetsbaarheden vanuit een SOC en pentesten en meer. Als je het niet zeker weet dan verklaar je alles bij voorbaat gehackt en gelekt. Vergeet niet Rapid7 is een van grotere spelers in het afschermen van systemen.
Juist daar mag niets mis gaan in de supply chain. Deze stelt in de blog niet gerust:
"We have contacted the small subset of customers who may be impacted by this incident to ensure they take appropriate steps to mitigate any potential risk. " Genoemd in de blog is dat credentials gelekt zijn.
15-05-2021, 19:27 door Anoniem
Door Anoniem: Wat is dit nou voor sensatie kop, het lijkt de telegraaf wel! De suggestie wordt gewekt dat de broncode van oplossingen van Rapid7 inzichtelijk is geweest maar het betreft een interne server die wat broncode bevatte van wat zelfgemaakte tooling door het SOC.

https://www.rapid7.com/blog/post/2021/05/13/rapid7s-response-to-codecov-incident/
Dus alleen de Telegraaf maakt zich schuldig aan sensatie?
Ik denk dat de wereld wel iets anders in elkaar zit...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.