Хакеры скралі зыходны код у дзяржаўных устаноў ЗША і прыватных кампаній

Федэральнае бюро расследаванняў (ФБР) накіравала папярэджанне ў кастрычніку мінулага года у службы бяспекі кампаній і дзяржаўных арганізацый.

Дакумент прасачыўся на мінулым тыдні сцвярджае, што невядомыя хакеры скарысталіся ўразлівасцю на платформе праверкі кода SonarQube для доступу да сховішчаў зыходнага кода. Гэта прыводзіць да ўцечкі зыходнага кода з дзяржаўных органаў і прыватных кампаній.

Абвестка ФБР папярэдзіла ўладальнікаў SonarQube, вэб-дадатак, якое кампаніі інтэгруюць у свае ланцужкі зборкі праграмнага забеспячэння, каб праверыць зыходны код і выявіць дзіркі ў бяспецы перад выпускам кода і прыкладанняў у вытворчых умовах.

Хакеры карыстаюцца вядомымі ўразлівасцямі канфігурацыі, што дазваляе ім атрымаць доступ да ўласнага кода, прафільтраваць яго і публікаваць дадзеныя. ФБР выявіла некалькі патэнцыйных пранікненняў у кампутар, якія карэлююць з уцечкамі, звязанымі з уразлівасцямі канфігурацыі SonarQube.

прыкладанняў SonarQube ўсталёўваюцца на вэб-серверах і падключыцца да сістэм хостынгу кода такія крыніцы, як уліковыя запісы BitBucket, GitHub або GitLab, альбо сістэмы Azure DevOps.

Паводле ФБР, некаторыя кампаніі пакінулі гэтыя сістэмы неабароненымі, працуе з канфігурацыяй па змаўчанні (на порце 9000) і ўліковымі дадзенымі адміністравання па змаўчанні (адміністратар / адміністратар). Хакеры злоўжывалі няправільна настроенымі праграмамі SonarQube як мінімум з красавіка 2020 года.

«З красавіка 2020 года неапазнаныя докі актыўна нацэльваюцца на ўразлівыя асобнікі SonarQube, каб атрымаць доступ да сховішчаў зыходных кодаў дзяржаўных устаноў ЗША і прыватных кампаній.

Хакеры выкарыстоўваюць вядомыя ўразлівасці канфігурацыі, дазваляючы ім атрымаць доступ да ўласнага кода, прафільтраваць яго і публічна адлюстраваць дадзеныя. ФБР выявіла некалькі патэнцыйных пранікненняў у кампутар, якія карэлююць з уцечкамі, звязанымі з уразлівасцямі ў канфігурацыі SonarQube », - гаворыцца ў дакуменце ФБР.

Чыноўнікі ФБР заяўляе, што хакеры злоўжывалі гэтымі няправільнымі наладамі каб атрымаць доступ да экземпляраў SonarQube, пераключыцеся на падлучаныя сховішчы зыходнага кода, а затым зайдзіце і выкрадзіце ўласныя альбо прыватныя / канфідэнцыйныя праграмы. Супрацоўнікі ФБР падмацавалі свае папярэджанні двума прыкладамі мінулых інцыдэнтаў, якія мелі месца ў папярэднія месяцы:

«У жніўні 2020 года яны раскрылі ўнутраныя дадзеныя дзвюх арганізацый праз інструмент публічнага рэпазітара жыццёвага цыкла. Выкрадзеныя дадзеныя паступалі з асобнікаў SonarQube з выкарыстаннем налад порта па змаўчанні і адміністрацыйных дадзеных, якія працуюць у сетках пацярпелых арганізацый.

«Гэтая дзейнасць аналагічная папярэдняму парушэнню дадзеных у ліпені 2020 года, калі ідэнтыфікаваны кібер-акцёр пранікае зыходны код кампаніі праз дрэнна абароненыя асобнікі SonarQube і размяшчае эксфільтраваны зыходны код у самастойным публічным сховішчы. . «, 

Абвесткі ФБР закранаюць малавядомую тэму распрацоўшчыкамі праграмнага забеспячэння і даследчыкамі бяспекі.

У той час як галіна кібербяспекі часта папярэджвала пра небяспекуПасля пакідання баз дадзеных MongoDB або Elasticsearch у сетцы без пароля, SonarQube пазбег назірання.

На самай справе Даследчыкі часта выяўляюць выпадкі MongoDB або Elasticsearch он-лайн якія раскрываюць дадзеныя звыш дзясяткаў мільёнаў неабароненых кліентаў.

Напрыклад, у студзені 2019 года Джасцін Пейн, даследчык бяспекі, выявіў няправільна наладжаную Інтэрнэт-базу дадзеных Elasticsearch, выставіўшы значную колькасць запісаў кліентаў на літасць зламыснікаў, якія выявілі ўразлівасць.

Інфармацыя пра больш за 108 мільёнаў ставак, уключаючы звесткі пра асабістую інфармацыю карыстальнікаў, належала кліентам групы інтэрнэт-казіно.

Аднак, кабНекаторыя даследчыкі бяспекі папярэджвалі з мая 2018 года пра тыя ж небяспекі калі кампаніі пакідаюць прыкладання SonarQube у сетцы з уліковымі дадзенымі па змаўчанні.

У той час кансультант па кібербяспецы, які займаецца выяўленнем парушэнняў дадзеных, Боб Дыячэнка папярэдзіў, што каля 30-40% з прыблізна 3,000 экземпляраў SonarQube, даступных у Інтэрнэце на той момант, не ўключылі ні пароля, ні механізма аўтэнтыфікацыі.

Фуэнтэ: https://blog.sonarsource.com


Змест артыкула адпавядае нашым прынцыпам рэдакцыйная этыка. Каб паведаміць пра памылку, націсніце тут.

Будзьце першым, каб каментаваць

Пакіньце свой каментар

Ваш электронны адрас не будзе апублікаваны.

*

*

  1. Адказны за дадзеныя: Мігель Анхель Гатон
  2. Прызначэнне дадзеных: Кантроль спаму, кіраванне каментарыямі.
  3. Легітымнасць: ваша згода
  4. Перадача дадзеных: Дадзеныя не будуць перададзены трэцім асобам, за выключэннем юрыдычных абавязкаў.
  5. Захоўванне дадзеных: База дадзеных, размешчаная Occentus Networks (ЕС)
  6. Правы: у любы час вы можаце абмежаваць, аднавіць і выдаліць сваю інфармацыю.

bool (праўда)