據(jù)路透社報(bào)道，聯(lián)邦官員正在調(diào)查軟件審計(jì)公司Codecov的安全漏洞，該漏洞在被外部利用數(shù)月內(nèi)未被發(fā)現(xiàn)。Codecov的平臺用于測試軟件代碼是否存在漏洞，其2.9萬名客戶包括Atlassian、寶潔公司、GoDaddy和華盛頓郵報(bào)。

在該公司網(wǎng)站上的一份聲明中，Codecov首席執(zhí)行官Jerrod Engelberg承認(rèn)了這一漏洞和正在接受聯(lián)邦政府調(diào)查，稱有人在未經(jīng)公司允許的情況下獲得了其Bash Uploader腳本的訪問權(quán)限并對其進(jìn)行了修改。

"我們的調(diào)查已經(jīng)確定，從2021年1月31日開始，有定期的，未經(jīng)授權(quán)的第三方修改我們的Bash Uploader腳本，這使得他們有可能導(dǎo)出存儲在我們用戶的持續(xù)集成（CI）環(huán)境中的信息，"Engelberg寫道。"這些信息隨后被發(fā)送到Codecov基礎(chǔ)設(shè)施之外的第三方服務(wù)器。"

根據(jù)Engelberg的帖子，該工具的修改版本可能會影響到：

我們的客戶通過他們的CI運(yùn)行器傳遞的任何憑證、令牌或密鑰，當(dāng)Bash Uploader腳本被執(zhí)行時(shí)，這些憑證、令牌或密鑰可以被訪問。

任何服務(wù)、數(shù)據(jù)存儲和應(yīng)用程序代碼都可以通過這些憑證、令牌或密鑰被訪問。

使用Bash Uploaders將覆蓋范圍上傳到CI中的Codecov的倉庫的git遠(yuǎn)程信息(起源倉庫的URL)。

雖然該漏洞發(fā)生在1月份，但直到4月1日才被發(fā)現(xiàn)，當(dāng)時(shí)有客戶發(fā)現(xiàn)該工具有問題。"在意識到這個問題后，Codecov立即對可能受影響的腳本進(jìn)行了保護(hù)和修復(fù)，并開始調(diào)查用戶可能受到影響的程度，"Engelberg寫道。

Codecov不知道是誰展開了此次入侵行動，但已經(jīng)聘請了一家第三方取證公司幫助其確定用戶是如何受到影響，同時(shí)向執(zhí)法部門報(bào)告了此事。該公司給受影響的用戶發(fā)了電子郵件，Codecov沒有說出他們的名字。

"我們強(qiáng)烈建議受影響的用戶立即重新制作他們所有的憑證、令牌或位于其CI進(jìn)程中環(huán)境變量中的密鑰，這些程序使用了Codecov的Bash Uploaders之一，"Engelberg補(bǔ)充道。

雖然Codecov漏洞的廣度仍不清楚，但路透社指出，它可能與去年年底的SolarWinds黑客事件產(chǎn)生類似的深遠(yuǎn)影響。在那次入侵事件中，與俄羅斯政府有關(guān)的黑客入侵了SolarWinds的監(jiān)控和管理軟件。據(jù)信約有250家實(shí)體受到SolarWinds漏洞的影響，包括Nvidia、Cisco和Belkin。美國財(cái)政部、商務(wù)部、州政府、能源部和國土安全機(jī)構(gòu)也受到了影響。

（舉報(bào)）