Federální úřad pro vyšetřování (FBI) vyslala varování loni v říjnu bezpečnostním službám společností a vládních organizací.
Dokument unikl minulý týden tvrdí, že neznámí hackeři využili tuto chybu zabezpečení na platformě pro ověření kódu SonarQube pro přístup k úložištím zdrojového kódu. To vede k únikům zdrojového kódu od vládních agentur a soukromých společností.
Varování FBI varovalo majitele SonarQube, webová aplikace, kterou společnosti integrují do svých řetězců pro vytváření softwaru, aby otestovaly zdrojový kód a objevily bezpečnostní mezery před vydáním kódu a aplikací v produkčním prostředí.
Hackeři využívají výhod známých zranitelností konfigurace, umožnit jim přístup k proprietárnímu kódu, jeho exfiltraci a publikování dat. FBI identifikovala několik potenciálních počítačových vniknutí, která korelují s úniky souvisejícími se zranitelnostmi konfigurace SonarQube.
Aplikace SonarQube jsou nainstalovány na webových serverech a připojit se k systémům hostování kódu zdroj, jako jsou účty BitBucket, GitHub nebo GitLab nebo systémy Azure DevOps.
Podle FBI, některé společnosti ponechaly tyto systémy nechráněné, běží s výchozí konfigurací (na portu 9000) a výchozími přihlašovacími údaji pro správu (admin / admin). Hackeři zneužívali nesprávně nakonfigurované aplikace SonarQube nejméně od dubna 2020.
„Od dubna 2020 se neidentifikovaní hakové aktivně zaměřují na zranitelné instance SonarQube, aby získali přístup k úložištím zdrojových kódů od vládních agentur USA a soukromých společností.
Hackeři využívají známé chyby zabezpečení konfigurace a umožňují jim přistupovat k proprietárnímu kódu, exfiltrovat jej a veřejně zobrazovat data. FBI identifikovala několik potenciálních počítačových vniknutí, která korelují s úniky souvisejícími se zranitelnostmi v konfiguraci SonarQube, “uvádí se v dokumentu FBI.
Úředníci FBI říká, že hackeři hrozby zneužili tato nesprávná nastavení pro přístup k instancím SonarQube, přepněte na připojená úložiště zdrojového kódu a poté přistupujte a ukradněte proprietární nebo soukromé / citlivé aplikace. Úředníci FBI podpořili své varování poskytnutím dvou příkladů minulých incidentů, ke kterým došlo v předchozích měsících:
„V srpnu 2020 odhalili interní data pro dvě organizace prostřednictvím nástroje úložiště veřejného životního cyklu. Ukradená data pocházela z instancí SonarQube pomocí výchozího nastavení portů a pověření pro správu spuštěných v sítích postižených organizací.
„Tato aktivita je podobná předchozímu narušení dat v červenci 2020, kdy identifikovaný kybernetický aktér exfiltroval zdrojový kód společnosti prostřednictvím špatně zabezpečených instancí SonarQube a publikoval exfiltrovaný zdrojový kód do veřejného hostitele, který hostuje sám. «,
Varování FBI se dotýká málo známého tématu vývojáři softwaru a bezpečnostní výzkumníci.
Si bien průmysl kybernetické bezpečnosti často varoval před nebezpečímPo opuštění databází MongoDB nebo Elasticsearch online bez hesla unikl SonarQube dohledu.
Ve skutečnosti, Vědci často našli instance MongoDB nebo Elasticsearch online které vystavují data přes desítky milionů nechráněných klientů.
Například v lednu 2019 objevil bezpečnostní pracovník Justin Paine chybně nakonfigurovanou online databázi Elasticsearch a odhalil značný počet záznamů zákazníků vydaných na milost a nemilost útočníkům, kteří tuto chybu zabezpečení odhalili.
Informace o více než 108 milionech sázek, včetně podrobností o osobních údajích uživatelů, patřily zákazníkům skupiny online kasin.
Nicméně, aNěkteří vědci v oblasti bezpečnosti varovali od května 2018 před stejnými nebezpečími když společnosti nechají aplikace SonarQube vystavené online s výchozími pověřeními.
V té době konzultant v oblasti kybernetické bezpečnosti, který se zaměřuje na hledání narušení dat, Bob Diachenko, varoval, že asi 30–40% ze zhruba 3,000 XNUMX instancí SonarQube dostupných v té době online nemělo aktivováno žádné heslo ani ověřovací mechanismus.
zdroj: https://blog.sonarsource.com