مكتب التحقيقات الفيدرالي (مكتب التحقيقات الفدرالي) أرسل تحذيرًا في أكتوبر الماضي للأجهزة الأمنية للشركات والمؤسسات الحكومية.
الوثيقة تسربت الأسبوع الماضي الادعاءات أن قراصنة مجهولين استغلوا ثغرة أمنية على منصة التحقق من رمز SonarQube للوصول إلى مستودعات شفرة المصدر. هذا يؤدي إلى تسريبات الكود المصدري من الوكالات الحكومية والشركات الخاصة.
حذر تنبيه مكتب التحقيقات الفدرالي مالكي SonarQube ، أحد تطبيقات الويب التي تدمجها الشركات في سلاسل بناء البرامج الخاصة بها لاختبار كود المصدر واكتشاف الثغرات الأمنية قبل إصدار التعليمات البرمجية والتطبيقات في بيئات الإنتاج.
يستفيد المتسللون من نقاط ضعف التكوين المعروفة ، السماح لهم بالوصول إلى التعليمات البرمجية الخاصة ، وتسريبها ، ونشر البيانات. حدد مكتب التحقيقات الفيدرالي (FBI) العديد من الاختراقات المحتملة لأجهزة الكمبيوتر التي ترتبط بالتسريبات المرتبطة بنقاط ضعف تكوين SonarQube.
تطبيقات يتم تثبيت SonarQube على خوادم الويب والاتصال بأنظمة استضافة الكود المصدر مثل حسابات BitBucket أو GitHub أو GitLab أو أنظمة Azure DevOps.
وفقًا لمكتب التحقيقات الفيدرالي، تركت بعض الشركات هذه الأنظمة بدون حماية ، يعمل بتكوينه الافتراضي (على المنفذ 9000) وبيانات اعتماد الإدارة الافتراضية (المشرف / المشرف). لقد أساء المتسللون استخدام تطبيقات SonarQube التي تم تكوينها بشكل خاطئ منذ أبريل 2020 على الأقل.
"منذ أبريل 2020 ، استهدفت doks مجهولة الهوية بنشاط مثيلات SonarQube الضعيفة للوصول إلى مستودعات كود المصدر من الوكالات الحكومية الأمريكية والشركات الخاصة.
يستغل المتسللون الثغرات الأمنية المعروفة في التكوين ، مما يسمح لهم بالوصول إلى التعليمات البرمجية الخاصة ، وتسريبها ، وعرض البيانات علنًا. حدد مكتب التحقيقات الفيدرالي (FBI) العديد من الاختراقات المحتملة لأجهزة الكمبيوتر التي ترتبط بالتسريبات المرتبطة بالثغرات الأمنية في تكوين SonarQube ".
كان المسؤولون في يقول مكتب التحقيقات الفيدرالي إن قراصنة التهديد أساءوا استخدام هذه الإعدادات غير الصحيحة للوصول إلى طبعات SonarQube ، والتبديل إلى مستودعات كود المصدر المتصلة ، ثم الوصول إلى التطبيقات الخاصة أو الخاصة / الحساسة وسرقتها. دعم مسؤولو مكتب التحقيقات الفيدرالي حالة تأهبهم من خلال تقديم مثالين على الحوادث السابقة التي وقعت في الأشهر السابقة:
"في أغسطس 2020 ، كشفوا عن بيانات داخلية لمنظمتين من خلال أداة مستودع دورة الحياة العامة. جاءت البيانات المسروقة من مثيلات SonarQube باستخدام إعدادات المنفذ الافتراضية وبيانات اعتماد إدارية تعمل على شبكات المؤسسات المتأثرة.
"هذا النشاط مشابه لخرق بيانات سابق في يوليو 2020 ، حيث قام فاعل إلكتروني محدد بسرقة كود مصدر الشركة من خلال مثيلات SonarQube سيئة التأمين ونشر كود المصدر المسرَّق إلى مستودع عام مستضاف ذاتيًا. . «،
يتطرق تنبيه مكتب التحقيقات الفيدرالي إلى موضوع غير معروف بواسطة مطوري البرامج والباحثين الأمنيين.
في حين غالبًا ما حذرت صناعة الأمن السيبراني من المخاطرمن ترك قواعد بيانات MongoDB أو Elasticsearch مكشوفة عبر الإنترنت دون كلمة مرور ، فقد نجا SonarQube من المراقبة.
في الواقع، غالبًا ما وجد الباحثون أمثلة على MongoDB أو Elasticsearch على الانترنت التي تكشف البيانات أكثر من عشرات الملايين من العملاء غير المحميين.
على سبيل المثال ، في يناير 2019 ، اكتشف جاستن باين ، الباحث الأمني ، قاعدة بيانات Elasticsearch عبر الإنترنت تم تكوينها بشكل خاطئ ، مما عرض عددًا كبيرًا من سجلات العملاء لرحمة المهاجمين الذين اكتشفوا الثغرة الأمنية.
تنتمي المعلومات الخاصة بأكثر من 108 مليون رهان ، بما في ذلك تفاصيل المعلومات الشخصية للمستخدمين ، إلى عملاء مجموعة من الكازينوهات على الإنترنت.
ومع ذلك ،وحذر بعض الباحثين الأمنيين منذ مايو 2018 من نفس المخاطر عندما تترك الشركات تطبيقات SonarQube مكشوفة عبر الإنترنت ببيانات اعتماد افتراضية.
في ذلك الوقت ، حذر مستشار الأمن السيبراني بوب دياتشينكو ، الذي يركز على العثور على خروقات البيانات ، من أن حوالي 30-40٪ من حالات SonarQube البالغ عددها 3,000 تقريبًا والمتاحة عبر الإنترنت في ذلك الوقت لم يتم تنشيط كلمة المرور أو آلية المصادقة.
مصدر: https://blog.sonarsource.com