Twilio révèle l'impact de l'attaque de la chaîne d'approvisionnement Codecov

  • Principal
  • Nouvelles
  • Twilio révèle l'impact de l'attaque de la chaîne d'approvisionnement Codecov

La société de communication cloud Twilio a révélé qu'elle avait été affectée par la récente attaque de la chaîne d'approvisionnement Codecov dans une moindre mesure.

Comme BleepingComputer l'a signalé le mois dernier, l'outil de couverture de code populaire Codecov a été victime d'une attaque de la chaîne d'approvisionnement vieille de deux mois.

Au cours de cette période de deux mois, les auteurs de menaces ont modifié l'outil légitime Codecov Bash Uploader pour extraire des variables d'environnement (contenant des informations sensibles telles que des clés, des jetons et des informations d'identification) des environnements CI/CD des clients Codecov.

En utilisant les informations d'identification collectées par le Bash Uploader piraté, les attaquants Codecov auraient piraté des centaines de réseaux clients.

Twilio : petit nombre d'adresses e-mail de clients exposés

Aujourd'hui, les communications cloud et la plate-forme VoIP Twilio ont annoncé avoir été affectées par l'attaque de la chaîne d'approvisionnement Codecov.

Peu de temps après que Codecov a publié le fichier incident de sécurité Quant à leur Bash Uploader le mois dernier, Twilio a été informé qu'ils étaient également affectés.

Comme le constate BleepingComputer, plusieurs projets Twilio ont utilisé et continuent d'utiliser le Codecov Bash Uploader précédemment modifié :

codecov twilio github

Codecov Bash Uploader utilisé par divers projets Twilio
La source: BleepingComputer

Mais Twilio affirme que le composant Bash Uploader illégalement modifié a été activement utilisé dans un petit nombre de projets Twilio et de pipelines CI et n'a pas affecté les systèmes critiques.

'Ces projets et pipelines de CI ne sont pas sur le chemin critique pour fournir des mises à jour ou des fonctionnalités à nos API de communication', a expliqué Twilio dans un déclaration publié aujourd'hui.

'Notre enquête ultérieure sur l'impact de cet événement a révélé qu'un petit nombre d'adresses e-mail avaient probablement été exploitées par un attaquant inconnu à la suite de cette exposition.'

'Nous avons informé en privé les personnes concernées et avons traité toute exposition potentielle supplémentaire en examinant attentivement et en faisant pivoter toutes les informations d'identification potentiellement exposées', poursuit le communiqué.

Adresses e-mail trouvées dans le référentiel GitHub

Le 22 avril, GitHub a également informé Twilio après avoir détecté une activité suspecte liée à l'exposition à Codecov et qu'un jeton d'utilisateur Twilio avait été exposé.

'GitHub.com avait identifié plusieurs référentiels GitHub qui avaient été clonés par l'attaquant avant que Codecov ne nous en informe.'

«Nos recherches sont allées de l'identification des secrets à l'identification du contenu des référentiels qui ont été clonés», explique Twilio.

C'est alors dans l'un de ces référentiels GitHub que l'équipe de sécurité de Twilio a trouvé 'un petit nombre d'adresses e-mail appartenant à des clients Twilio', bien que l'entreprise n'ait pas révélé ce qu'est exactement ce 'petit nombre'.

Twilio déclare qu'à l'heure actuelle, rien n'indique ou ne prouve que d'autres données client ont été exposées ou que les référentiels Twilio ont été modifiés de quelque manière que ce soit par les attaquants.

Dans le cadre de ses activités d'enquête, la société a également effectué une recherche automatisée des secrets découverts et analysé manuellement les résultats.

De plus, l'entreprise a fait tourner tous les secrets qui auraient pu être découverts dans les référentiels, après l'attaque de la chaîne d'approvisionnement Codecov.

Twilio a également pris des mesures pour détecter de tels incidents à l'avenir, comme l'analyse des demandes d'extraction GitHub en temps réel pour les secrets exposés et les pratiques de chiffrement non sécurisées courantes.

Twilio n'est pas la seule entreprise concernée

Twilio n'est pas la première ni la seule entreprise touchée par l'attaque de la chaîne d'approvisionnement de Codecov.

Le mois dernier, comme l'a rapporté BleepingComputer, HashiCorp a révélé que sa clé privée GPG avait été exposée lors de l'attaque.

Cette clé servait à signer et à vérifier les versions logicielles et devait donc faire l'objet d'une rotation.

Depuis lors, de nombreux autres clients Codecov ont dû faire pivoter leurs identifiants. Qu'ils aient été touchés ou non et comment reste un mystère.

Avant que Codecov ne découvre la faille, Bash Uploader était utilisé par des milliers de projets open source :

client codecov

Des milliers de fichiers utilisant Codecov Bash Uploader
Source : grep.app

De même, BleepingComputer est également tombé sur une discussion entre les membres de la communauté Mozilla Firefox qui ont reconnu les secrets de rotation après l'attaque Codecov.

Mozilla a répondu :

'En réponse à la violation de Codecov annoncée le 15 avril 2021, l'équipe de sécurité de Mozilla a coordonné la rotation des informations d'identification et des jetons conformément aux instructions de Codecov.'

'Aucune preuve de compromis n'a été trouvée et nous ne prévoyons aucun impact sur les produits ou services de Mozilla', a déclaré un porte-parole de Mozilla à BleepingComputer.

La semaine dernière, Codecov a commencé à envoyer des notifications supplémentaires aux clients concernés et a révélé une liste complète des indicateurs de compromission (IOC) - les adresses IP des attaquants associés à cette attaque de la chaîne d'approvisionnement.

Les utilisateurs de Codecov doivent analyser leurs réseaux et leurs environnements CI/CD à la recherche de signes de compromission et, par mesure de sécurité, faire pivoter tous les secrets susceptibles d'avoir été exposés.

Qu'est-ce que tu penses?