L'Oficina Federal d'Investigacions (FBI) va enviar el passat mes d'octubre un advertiment als serveis de seguretat d'empreses i organitzacions governamentals.
El document filtrat la setmana passada afirma que hackers desconeguts es van aprofitar d'una vulnerabilitat a la plataforma de verificació de codi de SonarQube per accedir als repositoris de codi font. Això condueix a filtracions de codi font d'agències governamentals i empreses privades.
L'alerta de l'FBI va advertir als propietaris de SonarQube, una aplicació web que les empreses integren en les seves cadenes de creació de programari per provar el codi font i descobrir forats de seguretat abans de llançar codi i aplicacions en entorns de producció.
Els hackers aprofiten les vulnerabilitats de configuració conegudes, el que els permet accedir a el codi propietari, exfiltrarlo i publicar dades. L'FBI ha identificat múltiples intrusions informàtiques potencials que es correlacionen amb fuites associades amb vulnerabilitats de configuració de SonarQube.
Les aplicacions de SonarQube s'instal·len en servidors web i es connecten a sistemes d'allotjament de codi font com comptes de BitBucket, GitHub o GitLab, o sistemes Azure devops.
Segons l'FBI, Algunes empreses han deixat aquests sistemes sense protecció, executant-se amb la seva configuració per defecte (al port 9000) i credencials d'administració predeterminades (admin / admin). Els hackers han abusat de les aplicacions de SonarQube mal configurades des al menys abril de 2020.
"Des d'abril de 2020, els hacerks no identificats s'han dirigit activament a instàncies vulnerables de SonarQube per accedir als repositoris de codi font de les agències governamentals i empreses privades d'EE. UU.
Els hackers aprofiten les vulnerabilitats de configuració conegudes, el que els permet accedir a el codi propietari, exfiltrarlo i mostrar dades públicament. L'FBI ha identificat múltiples intrusions informàtiques potencials que es correlacionen amb les filtracions associades amb les vulnerabilitats en la configuració de SonarQube ", es llegeix en el document de l'FBI.
Els funcionaris de l' FBI diuen que els hackers d'amenaces van abusar d'aquestes configuracions incorrectes per accedir a instàncies de SonarQube, canviar a repositoris de codi font connectats i després accedir i robar aplicacions patentades o privades / sensibles. Els funcionaris de l'FBI van donar suport la seva alerta proporcionant dos exemples d'incidents passats que van tenir lloc en mesos anteriors:
"A l'agost de 2020, van revelar dades internes de dues organitzacions a través d'una eina de repositori públic de cicle de vida. Les dades robats provenien d'instàncies de SonarQube que usaven configuracions de port predeterminades i credencials administratives que s'executen en les xarxes de les organitzacions afectades ".
"Aquesta activitat és similar a una violació de dades anterior al juliol de 2020, en què un actor cibernètic identificat exfiltró el codi font de l'empresa a través d'instàncies de SonarQube mal assegurades i va publicar el codi font exfiltrado en un repositori públic acte allotjat . «,
L'alerta de l'FBI toca un tema poc conegut pels desenvolupadors de programari i els investigadors de seguretat.
Si bé la indústria de la ciberseguretat sovint ha advertit sobre els perills de deixar les bases de dades MongoDB o Elasticsearch exposades en línia sense una contrasenya, SonarQube ha escapat de la vigilància.
De fet, els investigadors han trobat sovint instàncies de MongoDB o Elasticsearch en línia que exposen dades sobre desenes de milions de clients desprotegits.
Per exemple, al gener de 2019, Justin Paine, un investigador de seguretat, va descobrir una base de dades Elasticsearch en línia mal configurada, que exposava una quantitat significativa de registres de clients a mercè dels atacants que van descobrir la vulnerabilitat.
La informació sobre més de 108 milions d'apostes, inclosos els detalls de la informació personal dels usuaris, pertanyia a clients d'un grup de casinos en línia.
No obstant això, alguns investigadors de seguretat van advertir des de maig de 2018 sobre els mateixos perills quan les empreses deixen les aplicacions SonarQube exposades en línia amb credencials predeterminades.
En aquest moment, el consultor de ciberseguretat que s'enfoca en trobar violacions de dades, Bob Diachenko, va advertir que al voltant de l'30-40% de les aproximadament 3,000 instàncies de SonarQube disponibles en línia en aquest moment no tenien contrasenya o mecanisme d'autenticació activat.
font: https://blog.sonarsource.com