Ein Supply-Chain-Hack auf einen Softwareanbieter namens Codecov, der zunächst etwas unter dem Radar von
inside-it.ch geflogen ist, macht nun immer mehr Schlagzeilen. Wie sich zeigt, könnten auch grosse IT-Unternehmen wie IBM oder HPE, und damit auch deren Kunden, durch den Supply-Chain-Angriff auf Codecov gefährdet sein.
Codecov bietet Lösungen zum Management und zum Auditieren von Softwarecode an. Diese werden oft von Unternehmen verwendet, die selbst Software entwickeln. Dies bedeutet, dass Hacker, die Codecov-Lösungen kompromittieren, darüber potenziell auch Zugriff auf Softwareprodukte von Kunden erhalten und so weitere Supply-Chain-Attacken durchführen könnten. Codecov hat insgesamt rund 19'000 Kunden.
Das Unternehmen hat am 1. April erstmals entdeckt, dass in seinen Systemen etwas nicht stimmte. Am vergangenen Donnerstag, dem 15. April,
gab Codecov dann offiziell bekannt, dass sich jemand Zugang zu seinem "Bash Uploader"-Script verschafft und es modifiziert hatte. Der Angreifer habe dafür einen Fehler in Codecovs Prozess zur Generierung von Docker-Images ausgenützt. Dadurch sei er an Credentials gekommen, die ihm erlaubten, das Bash-Uploader-Script zu modifizieren.
Die Modifikationen ermöglichten es den Angreifern, Informationen, die in den Continous-Integration-Umgebungen von Codecov-Kunden gespeichert sind, abzugreifen. Wie Codecov zudem entdeckte, begannen die Modifikationen bereits am 31. Januar. Der oder die Angreifer hatten also mehr als zwei Monate Zeit, um ihre Hintertür ungestört auszunützen.
Laut einem aktuellen Bericht von 'Reuters', der sich auf Informationen von Personen stützt, die an der Aufklärung des Codecov-Vorfalls mitarbeiten, sollen sich die Angreifer via das manipulierte Codecov-Produkt Zugang zu Hunderten von Kunden-Netzwerken verschafft haben. Die Codecov-Tools, so 'Reuters', geben den Hackern Zugang zu Credentials für interne Software-Accounts der Kunden. Die Hacker hätten diese Credentials kopiert und so schnell Zugriff auf weitere Ressourcen erhalten.
Einige der betroffenen Codecov-Kunden, darunter IBM, HPE und Atlassian habe sich in vorläufigen Statements zum Vorfall geäussert. IBM und Atlassian erklärten ebenso wie einige andere Unternehmen, dass sie keine Änderungen am eigenen Code gefunden haben. HPE sagte, man sei noch daran, dies abzuklären.
Einige Security-Experten vergleichen den Codecov-Hack trotzdem bereits mit dem Supply-Chain-Angriff auf Solarwinds. Die Angreifer haben ein ähnlich hohes technisches Niveau wie die Solarwinds-Hacker, so die Einschätzung der von US-Medien zitierten Experten. Und die Auswirkungen des Vorfalls könnten ähnlich schwerwiegend werden, vor allem, wenn dieser Supply-Chain-Hack tatsächlich weitere möglicherweise bisher noch nicht entdeckte Supply-Chain-Hacks, nach sich zieht.