Hackers anu arrubbatu u còdice fonte da l'agenzie di u guvernu americanu è e cumpagnie private

U Uffiziu Federale d'Investigazioni (FBI) hà mandatu un avvirtimentu d'ottobre scorsu à i servizii di securità di e cumpagnie è di l'urganisazioni governamentali.

U documentu hè statu filtratu a settimana scorsa pretende chì i pirati scunnisciuti anu sfruttatu una vulnerabilità nantu à a piattaforma di verificazione di codice SonarQube per accede à i repositori di codice surghjente. Questu porta à fughe di codice fonte da agenzie di u guvernu è cumpagnie private.

L'alerta FBI hà avvirtutu i pruprietari di SonarQube, una applicazione web chì e cumpagnie integranu in i so catene di creazione di software per testà u codice sorgente è scopre fori di sicurezza prima di rilasciare codice è applicazioni in ambienti di produzione.

I piratoghji prufittanu di e vulnerabilità di cunfigurazione cunnisciute, chì li permette di accede à u còdice propiu, esfiltrallu, è publicà dati. U FBI hà identificatu parechje intrusioni putenziali in urdinatore chì si currelanu cù perdite assuciate à vulnerabilità di cunfigurazione SonarQube.

L'applicazioni di SonarQube sò installati nantu à i servitori web è cunnette vi à i sistemi di hosting di codice surghjente cum'è BitBucket, GitHub o cunti GitLab, o sistemi Azure DevOps.

Sicondu u FBI, Alcune cumpagnie anu lasciatu sti sistemi senza prutezzione, in esecuzione cù a so configurazione predefinita (nantu à u portu 9000) è e credenziali di amministrazione predefinite (amministratore / amministratore). I pirati anu abusatu di l'applicazioni SonarQube mal configurate dapoi almenu aprile 2020.

"Dapoi aprile 2020, i falchi micca identificati anu attivamente destinatu à istanze vulnerabili di SonarQube per uttene l'accessu à i repositori di codice sorgente da agenzie di u guvernu americanu è cumpagnie private.

I piratoghji sfruttanu e vulnerabilità di cunfigurazione cunnisciute, chì li permettenu di accede à u còdice propiu, esfiltrallu, è visualizà i dati publicamente. U FBI hà identificatu parechje intrusioni putenziali in urdinatore chì si correlanu cù perdite assuciate à vulnerabilità in a cunfigurazione SonarQube ", leghje u documentu FBI.

I funzionari di u U FBI dice chì i pirate di minaccia anu abusatu di ste impostazioni sbagliate per accede à l'istanze SonarQube, cambià à i repositori di codice sorgente cunnessi, è dopu accede è arrubbà applicazioni pruprietarie o private / sensibili. L'ufficiali di u FBI anu sustinutu l'alerta dendu dui esempii di incidenti passati accaduti in i mesi precedenti:

"À Agostu 2020, anu rivelatu dati interni per duie organizzazioni attraversu un strumentu di repositariu di ciclu di vita publicu. I dati arrubbati sò venuti da istanze SonarQube aduprendu impostazioni di portu predefinite è credenziali amministrative in esecuzione nantu à e reti di l'organizazioni interessate.

"Questa attività hè simile à una precedente violazione di dati in lugliu 2020, in cui un attore ciberneticu identificatu hà filtratu u codice surghjente di a cumpagnia per mezu di istanze SonarQube mal sicurizate è publicatu u codice sorgente esfiltratu in un repositariu publicu self-ospitatu. . «, 

L'alerta di u FBI tocca un tema pocu cunnisciutu da sviluppatori di software è ricercatori di sicurezza.

Mentre era l'industria di cibersigurtà hà spessu prevenutu di i periculiDa lascià e basi di dati MongoDB o Elasticsearch esposte in ligna senza password, SonarQube hà scappatu di a vigilanza.

In fattu, I ricercatori anu spessu trovu casi di MongoDB o Elasticsearch in ligna chì espone dati nantu à decine di milioni di clienti senza prutezzione.

Per esempiu, in ghjennaghju 2019, Justin Paine, un ricercatore di securità, hà scupertu una basa di dati Elasticsearch in linea mal configurata, espunendu un numeru significativu di registri di i clienti à a misericordia di l'attaccanti chì anu scupertu a vulnerabilità.

L'infurmazioni nantu à più di 108 milioni di scumesse, cumprese i dettagli di l'infurmazioni persunali di l'utilizatori, appartenenu à i clienti di un gruppu di casinò in linea.

Tuttavia, àAlcuni ricercatori di sicurezza anu avvistatu da maghju 2018 di i listessi periculi quandu e cumpagnie lascianu l'applicazioni SonarQube esposte in linea cù credenziali predefinite.

À quellu tempu, u cunsultante di cibersigurtà chì si cuncentra nantu à a ricerca di violazioni di dati, Bob Diachenko, hà avvistatu chì circa u 30-40% di circa 3,000 istanze SonarQube dispunibili in ligna à l'epica ùn avianu micca attivatu password o meccanisimu di autentificazione.

source: https://blog.sonarsource.com


U cuntenutu di l'articulu aderisce à i nostri principii di etica edituriale. Per signalà un errore cliccate quì.

Sianu the first to comment

Lasciate u vostru cummentariu

U vostru indirizzu email ùn esse publicatu.

*

*

  1. Responsabile di i dati: Miguel Ángel Gatón
  2. Scopu di i dati: Cuntrolla SPAM, gestione di cumenti.
  3. Legitimazione: U vostru accunsentu
  4. Cumunicazione di i dati: I dati ùn seranu micca cumunicati à terzi, eccettu per obbligazione legale.
  5. Archiviazione di dati: Base di dati ospitata da Occentus Networks (UE)
  6. Diritti: In ogni mumentu pudete limità, recuperà è cancellà e vostre informazioni.