La ciberseguridad es la máxima prioridad de Rapid7 y cuando hay un incidente que puede suponer un riesgo para nuestros clientes, somos transparentes al respecto. También creemos que proporcionar este nivel de transparencia ayuda en última instancia a la comunidad de seguridad a abordar mejor las posibles amenazas pendientes y a protegerse de futuros ataques. En este sentido, queremos compartir una actualización sobre un incidente de seguridad revelado por Codecov y su potencial impacto en nuestra empresa y clientes. Así es cómo Rapid7 gestionó este suceso.
¿Qué ocurrió?
El pasado 15 de abril, Codecov, proveedor de soluciones de cobertura de código, anunció un incidente en la cadena de suministro en el que una parte maliciosa obtuvo acceso al script Bash Uploader de Codecov y lo modificó, permitiendo al atacante exportar los datos almacenados en variables de entorno en los sistemas de integración continua (CI) de los clientes de Codecov a un servidor controlado por el atacante. Si quiere acceder a más información sobre la publicación de Codecov, haga clic aquí.
Cuando nos enteramos de este incidente, inmediatamente pusimos en marcha nuestro proceso de respuesta a incidentes de seguridad. Nuestro uso del script Bash Uploader era limitado: estaba configurado en un único servidor CI para probar y construir algunas herramientas internas para nuestro servicio de Managed Detection and Response (MDR). No utilizábamos Codecov en ningún servidor CI para el código del producto.
Al igual que otros clientes de Codecov, hemos estado investigando activamente este incidente en nuestro entorno, y tras una exhaustiva revisión y validación por parte de una importante empresa forense de ciberseguridad externa, hemos determinado lo siguiente:
- Un pequeño subconjunto de nuestros repositorios de código para herramientas internas de nuestro servicio MDR fue accedido por alguien no autorizado fuera de Rapid7.
- Estos repositorios contenían algunas credenciales internas, que han sido rotadas, y los datos relacionados con alertas para un subconjunto de nuestros clientes de MDR.
- No se accedió a otros sistemas corporativos o entornos de producción, y no se realizaron cambios no autorizados en estos repositorios.
Nos hemos puesto en contacto con un grupo de clientes que pueden verse afectados por este incidente para asegurarnos de que toman las medidas adecuadas para mitigar cualquier riesgo potencial. –Nota: si desde Rapid7 no se han puesto en contacto con usted, es porque no está afectado por el incidente–. A través de nuestra investigación no hemos encontrado evidencia de acceso a nuestra plataforma o productos Insight, ni acceso a ningún dato de clientes enviado o almacenado en ninguno de ellos.
Siguientes pasos
Rapid7 actualizará este post si conoce nueva información que modifique el alcance del impacto descrito. Si es usted cliente de Rapid7 y tiene alguna pregunta o necesita más información, póngase en contacto con su referente comercial o envíe un correo electrónico a codecov-inquiries@rapid7.com.