Federal Bureau of Investigation (FBI) sendte en advarsel i oktober sidste år til sikkerhedstjenester i virksomheder og offentlige organisationer.
Dokumentet lækkede i sidste uge hævder, at ukendte hackere udnyttede en sårbarhed på SonarQube-kodebekræftelsesplatformen for at få adgang til kildekodebaserer. Dette fører til kildekodelækager fra offentlige agenturer og private virksomheder.
FBI-alarmen advarede SonarQube-ejere, en webapplikation, som virksomheder integrerer i deres softwarebygningskæder for at teste kildekode og opdage sikkerhedshuller, inden de frigiver kode og applikationer i produktionsmiljøer.
Hackere drager fordel af kendte konfigurationssårbarheder, giver dem adgang til proprietær kode, exfiltrerer den og offentliggør data. FBI har identificeret flere potentielle computerindbrud, der korrelerer med lækager forbundet med SonarQube-konfigurationssårbarheder.
Anvendelserne af SonarQube er installeret på webservere og oprette forbindelse til kodehostingsystemer kilde såsom BitBucket-, GitHub- eller GitLab-konti eller Azure DevOps-systemer.
Ifølge FBI, nogle virksomheder har efterladt disse systemer ubeskyttet, kører med sin standardkonfiguration (på port 9000) og standardadministrationsoplysninger (admin / admin). Hackere har misbrugt miskonfigurerede SonarQube-applikationer siden mindst april 2020.
”Siden april 2020 har uidentificerede doktorer aktivt målrettet mod sårbare SonarQube-forekomster for at få adgang til kildekodebaserer fra amerikanske regeringsorganer og private virksomheder.
Hackere udnytter kendte konfigurationssårbarheder, så de kan få adgang til proprietær kode, exfiltrere den og vise data offentligt. FBI har identificeret flere potentielle computerindbrud, der korrelerer med lækager forbundet med sårbarheder i SonarQube-konfigurationen, ”lyder det i FBI-dokumentet.
Embedsmændene i FBI siger, at trusselhackere misbrugte disse forkerte indstillinger for at få adgang til SonarQube-forekomster skal du skifte til tilsluttede kildekodelagre og derefter få adgang til og stjæle proprietære eller private / følsomme applikationer. FBI-embedsmænd sikkerhedskopierede deres alarm ved at give to eksempler på tidligere hændelser, der fandt sted i de foregående måneder:
”I august 2020 afslørede de interne data for to organisationer gennem et offentligt værktøj til livscyklusopbevaring. De stjålne data kom fra SonarQube-forekomster ved hjælp af standardportindstillinger og administrative legitimationsoplysninger, der kører på de berørte organisations netværk.
“Denne aktivitet svarer til et tidligere databrud i juli 2020, hvor en identificeret cyberaktør exfiltrerede virksomhedens kildekode gennem dårligt sikrede SonarQube-forekomster og offentliggjorde den exfiltrerede kildekode til et selvhostet offentligt arkiv. «,
FBI-alarm berører et lite kendt emne af softwareudviklere og sikkerhedsforskere.
Si bien cybersikkerhedsindustrien har ofte advaret om farernes fra at forlade MongoDB- eller Elasticsearch-databaser udsat online uden adgangskode, har SonarQube undgået overvågning.
Faktisk er det Forskere har ofte fundet forekomster af MongoDB eller Elasticsearch on-line der udsætter data over titusinder af ubeskyttede kunder.
For eksempel opdagede Justin Paine, en sikkerhedsforsker, i januar 2019 en forkert konfigureret online Elasticsearch-database og udsatte et betydeligt antal kundeoptegnelser over for angribere, der opdagede sårbarheden.
Oplysninger om mere end 108 millioner væddemål, inklusive detaljer om brugernes personlige oplysninger, tilhørte kunder i en gruppe af online casinoer.
Dog aNogle sikkerhedsforskere har siden maj 2018 advaret om de samme farer når virksomheder efterlader SonarQube-applikationer eksponeret online med standardoplysninger.
På det tidspunkt advarede cybersikkerhedskonsulenten, der fokuserer på at finde databrud, Bob Diachenko, at omkring 30-40% af de cirka 3,000 SonarQube-forekomster, der var tilgængelige online på det tidspunkt, ikke havde nogen adgangskode eller godkendelsesmekanisme aktiveret.
kilde: https://blog.sonarsource.com