Codecov abandonne Bash Uploader pour un exécutable NodeJS

0

La société de test de logiciels et de couverture de code, Codecov, a maintenant introduit un téléchargeur multiplateforme destiné à remplacer son ancien téléchargeur Bash.

Ce nouveau téléchargeur est disponible en tant qu’exécutable binaire statique prenant actuellement en charge les systèmes d’exploitation Windows, Linux et macOS.

L’annonce fait suite au récent incident de la chaîne d’approvisionnement de Codecov qui a duré deux mois, au cours duquel des attaquants avaient modifié le Bash Uploader pour collecter des informations d’identification sensibles à partir des environnements CI/CD des clients.

Nouveau téléchargeur NodeJS pour remplacer Codecov Bash Uploader

Cette semaine, Codecov a lancé une version bêta de son tout nouveau programme de téléchargement capable de fonctionner sur les systèmes d’exploitation Windows, Linux, Alpine Linux et macOS.

Ce téléchargeur, écrit en NodeJS, remplacerait le téléchargeur Bash que la société avait précédemment mis en place pour être utilisé par les clients.

« Au cours des 8 derniers mois, Codecov a développé un nouveau téléchargeur qui ne repose pas sur le script bash que nous fournissons actuellement à nos clients. »

« Nous avons lancé ce projet car, à mesure que l’utilisation de Codecov a augmenté et que notre vitesse de développement a augmenté, le Bash Uploader est devenu de plus en plus complexe à maintenir correctement », a déclaré le directeur technique de Codecov, Eli Hooten.

Hooten a cité plusieurs raisons pour avoir franchi cette étape, notamment la difficulté de maintenir, d’étendre, de distribuer et de tester les scripts Bash, à mesure que la complexité augmente.

En outre, les commandes de style « curl | bash » précédemment utilisées par les clients pour télécharger des données vers Bash Uploader ont fait l’objet d’un examen minutieux après la récente attaque de la chaîne d’approvisionnement dans laquelle le Bash Uploader avait été compromis.

« Pour lutter contre cet incident du point de vue du produit, nous avons initialement fourni une meilleure documentation sur la façon de vérifier Codecov Bash Uploader jusqu’à ce que notre nouveau téléchargeur soit terminé, mais notre objectif ultime à long terme a toujours été de remplacer complètement le Bash Uploader », a poursuivi Hooten.

De plus, Codecov déclare que son nouveau téléchargeur est doté de nouvelles fonctionnalités, d’avantages supplémentaires et d’une sécurité améliorée.

Le téléchargeur est proposé sous la forme d’un binaire compilé en natif produit à partir du code NodeJS open source que la communauté, les clients et tout le monde peuvent auditer et auxquels ils peuvent contribuer.

Dans un article de blog, la société a également expliqué qu’un binaire compilé « rend plus difficile la modification du code par un intermédiaire » et offre une sécurité renforcée par rapport à l’ancien Bash Uploader.

De plus, le nouveau téléchargeur combine des téléchargeurs distincts spécifiques à une langue en un seul exécutable.

Cependant, certains observateurs ont fait part de leurs préoccupations concernant le nouveau téléchargeur.

Le développeur de logiciels Maximilian Hils a souligné que le nouveau téléchargeur s’appuyait sur 579 dépendances et avait une taille de 43 Mo.

Hils a en outre exprimé sa surprise devant certaines des déclarations vantées par Codecov, selon lesquelles un binaire compilé était plus difficile à modifier pour un individu malveillant, et que le nouveau téléchargeur fournissait « une distribution plus sécurisée et vérifiable par rapport au téléchargeur Bash . »

Un autre développeur, Josh Pitts, a déclaré que la modification de binaire via Man-in-the-Middle (MitM) était une possibilité depuis longtemps, soulignant sa découverte antérieure.

De plus, le développeur a déclaré que les nouveaux binaires de téléchargement n’étaient pas signés par Codecov:

« Pour les versions Windows et macOS des binaires Codecov (où ils pourraient utiliser la signature de code), ils ne signent pas les binaires. »

« Ils offrent une vérification par clé publique des téléchargements et je recommande fortement de vérifier ces signatures étant donné l’importance de ce logiciel », a déclaré Pitts dans une interview.

Pour ceux qui téléchargent les nouveaux binaires de téléchargement de Codecov, Pitts recommande de les vérifier avec GPG/PGP, puis de les héberger sur un référentiel interne comme Artifactory.

Cela réduirait le risque de changements externes par une attaque de l’homme-du-milieu(MiTM).

« Tous vos serveurs qui utilisent Codecov pourraient simplement extraire Artifactory directement au lieu de faire la vérification GPG/PGP à chaque téléchargement depuis le site Web de Codecov », a conclu Pitts.

Comment vérifier l’intégrité du nouveau uploader ?

Codecov a fourni des étapes simples que les clients peuvent utiliser pour vérifier l’intégrité de son nouveau téléchargeur.

En plus du binaire de l’uploader, la société fournit un fichier de somme de contrôle (shashum) qui est signé par sa clé GPG publique.

Les clients peuvent exécuter quelques commandes, illustrées ci-dessous, pour s’assurer que le hachage ou la somme de contrôle du téléchargeur téléchargé correspond au hachage fourni dans le fichier de somme de contrôle et que le fichier de somme de contrôle est authentique (signé par la clé GPG de Codecov).

codecov
Commandes pour vérifier l’intégrité du nouveau téléchargeur de Codecov

La clé publique PGP de Codecov a la signature suivante et peut être téléchargée à partir de Keybase ou d’autres serveurs de clés :


Key ID:
 ED779869
Key Fingerprint: 2703 4E7F DB85 0E0B BC2C 62FF 806B B28A ED77 9869

Le nouveau téléchargeur, ainsi que les fichiers SHA256SUM et SHA256SUM.sig correspondants peuvent être téléchargés à partir du serveur de Codecov.

Une violation de Codecov aurait eu un impact sur des centaines de réseaux

Depuis que l’incident de Codecov a été révélé le 15 avril, les enquêteurs fédéraux américains n’ont pas tardé à intervenir et ont affirmé que les hackers de Codecov avaient réussi à pénétrer des centaines de réseaux clients.

Au cours des semaines suivantes, plusieurs entreprises se sont manifestées pour révéler l’impact de cette attaque de la chaîne d’approvisionnement durant les deux mois :

codecov
Mise à jour du calendrier d’attaque de la chaîne d’approvisionnement de Codecov le 21 mai 2021

Les entreprises concernées incluent le fabricant de logiciels HashiCorp, la plate-forme de communication cloud Twilio, le fournisseur de services cloud Confluent, la compagnie d’assurance Coalition, la société américaine de cybersécurité Rapid7, la plate-forme de gestion des flux de travail Monday.com et, plus récemment, le géant du commerce électronique Mercari.

Considérant que Codecov comptait plus de 29 000 clients, dont beaucoup s’appuyaient sur le Bash Uploader précédemment compromis, l’impact total de l’incident pourrait continuer à se faire sentir dans les mois à venir.

Les utilisateurs de Codecov doivent analyser leurs environnements CI/CD et réseaux à la recherche de tout signe de compromission et, par mesure de sécurité, modifier toutes les données sensibles qui ont pu être exposées.

Le nouveau téléchargeur NodeJS vers lequel les clients sont invités à se tourner devrait répondre à certaines des préoccupations concernant l’ancien ensemble de téléchargeurs de Codecov.

En fait, à partir du 1er novembre 2021, la société commencera à effectuer des « coupures aléatoires imprévues » de son Bash Uploader, le rendant volontairement indisponible parfois, et le supprimera complètement d’ici Février 2022.

Laisser un commentaire