Codecov-Breach: So schlimm wie Solarwinds?

21. April 2021 um 14:44
image

Der Supply-Chain-Hack könnte den Angreifern ermöglichen, auch Software-Produkte von Codecov-Kunden zu kompromittieren.

Ein Supply-Chain-Hack auf einen Softwareanbieter namens Codecov, der zunächst etwas unter dem Radar von inside-it.ch geflogen ist, macht nun immer mehr Schlagzeilen. Wie sich zeigt, könnten auch grosse IT-Unternehmen wie IBM oder HPE, und damit auch deren Kunden, durch den Supply-Chain-Angriff auf Codecov gefährdet sein.
Codecov bietet Lösungen zum Management und zum Auditieren von Softwarecode an. Diese werden oft von Unternehmen verwendet, die selbst Software entwickeln. Dies bedeutet, dass Hacker, die Codecov-Lösungen kompromittieren, darüber potenziell auch Zugriff auf Softwareprodukte von Kunden erhalten und so weitere Supply-Chain-Attacken durchführen könnten. Codecov hat insgesamt rund 19'000 Kunden.
Das Unternehmen hat am 1. April erstmals entdeckt, dass in seinen Systemen etwas nicht stimmte. Am vergangenen Donnerstag, dem 15. April, gab Codecov dann offiziell bekannt, dass sich jemand Zugang zu seinem "Bash Uploader"-Script verschafft und es modifiziert hatte.  Der Angreifer habe dafür einen Fehler in Codecovs Prozess zur Generierung von Docker-Images ausgenützt. Dadurch sei er an Credentials gekommen, die ihm erlaubten, das Bash-Uploader-Script zu modifizieren.
Die Modifikationen ermöglichten es den Angreifern, Informationen, die in den Continous-Integration-Umgebungen von Codecov-Kunden gespeichert sind, abzugreifen. Wie Codecov zudem entdeckte, begannen die Modifikationen bereits am 31. Januar. Der oder die Angreifer hatten also mehr als zwei Monate Zeit, um ihre Hintertür ungestört auszunützen.
Laut einem aktuellen Bericht von 'Reuters', der sich auf Informationen von Personen stützt, die an der Aufklärung des Codecov-Vorfalls mitarbeiten, sollen sich die Angreifer via das manipulierte Codecov-Produkt Zugang zu Hunderten von Kunden-Netzwerken verschafft haben. Die Codecov-Tools, so 'Reuters', geben den Hackern Zugang zu Credentials für interne Software-Accounts der Kunden. Die Hacker hätten diese Credentials kopiert und so schnell Zugriff auf weitere Ressourcen erhalten.
Einige der betroffenen Codecov-Kunden, darunter IBM, HPE und Atlassian habe sich in vorläufigen Statements zum Vorfall geäussert. IBM und Atlassian erklärten ebenso wie einige andere Unternehmen, dass sie keine Änderungen am eigenen Code gefunden haben. HPE sagte, man sei noch daran, dies abzuklären.
Einige Security-Experten vergleichen den Codecov-Hack trotzdem bereits mit dem Supply-Chain-Angriff auf Solarwinds. Die Angreifer haben ein ähnlich hohes technisches Niveau wie die Solarwinds-Hacker, so die Einschätzung der von US-Medien zitierten Experten. Und die Auswirkungen des Vorfalls könnten ähnlich schwerwiegend werden, vor allem, wenn dieser Supply-Chain-Hack tatsächlich weitere möglicherweise bisher noch nicht entdeckte Supply-Chain-Hacks, nach sich zieht.
Während die US-Regierung mittlerweile davon ausgeht, dass letztendlich der russische Geheimdienst hinter der Solarwinds-Attacke stand, gibt es noch keine öffentlich bekannt gegebenen Vermutungen über die Identität der Codecov-Angreifer.

Loading

Mehr erfahren

Mehr zum Thema

image

Schweizer Industriekonzern Hoerbiger von Ransom­ware getroffen

Hacker haben Daten von der Holdinggesellschaft gestohlen und verschlüsselt. Zeitweise musste deswegen die Produktion unter­brochen werden.

publiziert am 22.8.2024
image

Slack-KI bietet "Support" für Cyberkriminelle

Angreifer können dank Künstlicher Intelligenz über eine Sicherheitslücke an sensible Daten kommen, sogar aus Privatnachrichten.

publiziert am 22.8.2024
image

Bund arbeitet für Cybersicherheit enger mit EU zusammen

Der Bundesrat genehmigt die Mitgliedschaft bei der European Cyber Security Organisation sowie die Mitwirkung an einem EU-Projekt für gemeinsame Cyberverteidigung.

publiziert am 21.8.2024
image

Solarwinds behebt kritische Sicherheitslücke

Eine Schwachstelle in der Helpdesk-Lösung von Solarwinds erlaubt Cyberkriminellen die Ausführung von Remote Code. Das Unter­nehmen ruft zum Patchen auf.

publiziert am 20.8.2024