Código fuente de Rapid7 vulnerado

La compañía de ciberseguridad Rapid7 reveló el jueves que actores no identificados lograron de manera inapropiada hacerse con una pequeña parte de sus repositorios de código fuente a raíz del compromiso de la cadena de suministro de software dirigido a Codecov a principios de este año.

"Un pequeño subconjunto de nuestros repositorios de código fuente para herramientas internas para nuestra [Detección Gestionado y Respuesta] servicio se accede por una parte no autorizada fuera de Rapid7," la firma basada en Boston dijo en una divulgación. "Estos repositorios contenían algunas credenciales internas, que se han rotado todas, y datos relacionados con alertas para un subconjunto de nuestros clientes de MDR".

El 15 de abril, la startup de auditoría de software Codecov alertó a los clientes que su utilidad Bash Uploader había sido infectada con una puerta trasera el 31 de enero por partes desconocidas para obtener acceso a tokens de autenticación para varias cuentas de software internas utilizadas por los desarrolladores. El incidente no salió a la luz hasta el 1 de abril.

"El actor obtuvo acceso debido a un error en el proceso de creación de la imagen Docker de Codecov que le permitió extraer la credencial requerida para modificar nuestro script Bash Uploader", señaló la compañía , agregando que el adversario realizó "alteraciones periódicas y no autorizadas" al código. que les permitió exfiltrar la información almacenada en los entornos de integración continua (CI) de sus usuarios a un servidor de terceros.

Rapid7 reiteró que no hay evidencia de que se haya accedido a otros sistemas corporativos o entornos de producción, o que se hayan realizado cambios maliciosos en esos repositorios. La compañía también agregó que el uso del script Uploader se limitó a un solo servidor CI que se utilizó para probar y construir algunas herramientas internas para su servicio MDR.

Como parte de su investigación de respuesta a incidentes, la firma de seguridad dijo que notificó a un número selecto de clientes que pueden haber sido afectados por la infracción. Con este desarrollo, Rapid7 se une a empresas como HashiCorp , Confluent y Twilio que han confirmado públicamente el evento de seguridad hasta la fecha.

Se recomienda a los clientes de Codecov que hayan utilizado Bash Uploaders entre el 31 de enero de 2021 y el 1 de abril de 2021 que vuelvan a publicar todas sus credenciales, tokens o claves ubicadas en las variables de entorno en sus procesos de CI.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta