Das Bundeskriminalamt (FBI) hat letzten Oktober eine Warnung gesendet an die Sicherheitsdienste von Unternehmen und Regierungsorganisationen.
Das Dokument ist letzte Woche durchgesickert behauptet, unbekannte Hacker hätten eine Sicherheitslücke ausgenutzt auf der SonarQube-Codeüberprüfungsplattform um Zugriff auf Quellcode-Repositorys zu erhalten. Dies führt zu Quellcode-Lecks von Regierungsbehörden und privaten Unternehmen.
Der FBI-Alarm warnte SonarQube-Besitzer, Eine Webanwendung, die Unternehmen in ihre Software-Build-Ketten integrieren, um Quellcode zu testen und Sicherheitslücken zu entdecken, bevor sie Code und Anwendungen in Produktionsumgebungen veröffentlichen.
Hacker nutzen bekannte Konfigurationsschwachstellen aus, So können sie auf proprietären Code zugreifen, ihn exfiltrieren und Daten veröffentlichen. Das FBI hat mehrere potenzielle Computereingriffe identifiziert, die mit Lecks im Zusammenhang mit SonarQube-Konfigurationsschwachstellen korrelieren.
Anwendungen SonarQube werden auf Webservern installiert und verbinden Sie sich mit Code-Hosting-Systemen Quelle wie BitBucket-, GitHub- oder GitLab-Konten oder Azure DevOps-Systeme.
Nach Angaben des FBIEinige Unternehmen haben diese Systeme ungeschützt gelassen. Wird mit der Standardkonfiguration (auf Port 9000) und den Standardadministrationsdaten (admin / admin) ausgeführt. Hacker haben seit mindestens April 2020 falsch konfigurierte SonarQube-Anwendungen missbraucht.
„Seit April 2020 zielen nicht identifizierte Doks aktiv auf anfällige SonarQube-Instanzen ab, um Zugriff auf Quellcode-Repositories von US-Regierungsbehörden und privaten Unternehmen zu erhalten.
Hacker nutzen bekannte Konfigurationsschwachstellen aus, um auf proprietären Code zuzugreifen, ihn zu filtern und Daten öffentlich anzuzeigen. Das FBI hat mehrere potenzielle Computereingriffe identifiziert, die mit Lecks im Zusammenhang mit Sicherheitslücken in der SonarQube-Konfiguration korrelieren “, heißt es im FBI-Dokument.
Die Beamten der FBI sagt, dass Bedrohungshacker diese falschen Einstellungen missbraucht haben Um auf SonarQube-Instanzen zuzugreifen, wechseln Sie zu verbundenen Quellcode-Repositorys und greifen Sie dann auf proprietäre oder private / sensible Anwendungen zu und stehlen Sie diese. FBI-Beamte untermauerten ihre Warnung mit zwei Beispielen für Vorfälle in der Vergangenheit, die in den vergangenen Monaten stattgefunden hatten:
„Im August 2020 enthüllten sie interne Daten für zwei Organisationen über ein öffentliches Lebenszyklus-Repository-Tool. Die gestohlenen Daten stammen von SonarQube-Instanzen unter Verwendung der Standardporteinstellungen und Administratoranmeldeinformationen, die in den Netzwerken der betroffenen Organisationen ausgeführt werden.
„Diese Aktivität ähnelt einer früheren Datenverletzung im Juli 2020, bei der ein identifizierter Cyber-Akteur den Quellcode des Unternehmens durch schlecht gesicherte SonarQube-Instanzen exfiltrierte und den exfiltrierten Quellcode in einem selbst gehosteten öffentlichen Repository veröffentlichte. «,
Der FBI-Alarm berührt ein wenig bekanntes Thema von Softwareentwicklern und Sicherheitsforschern.
Während Die Cybersicherheitsbranche hat oft vor Gefahren gewarntSonarQube hat sich der Überwachung entzogen, da MongoDB- oder Elasticsearch-Datenbanken ohne Kennwort online verfügbar gemacht wurden.
In der Tat, die Forscher haben häufig Fälle von MongoDB oder Elasticsearch gefunden en línea das macht Daten verfügbar über zig Millionen ungeschützter Kunden.
Beispielsweise entdeckte der Sicherheitsforscher Justin Paine im Januar 2019 eine falsch konfigurierte Online-Elasticsearch-Datenbank, die eine erhebliche Anzahl von Kundendatensätzen der Gnade von Angreifern aussetzte, die die Sicherheitsanfälligkeit entdeckt hatten.
Informationen zu mehr als 108 Millionen Wetten, einschließlich Angaben zu den persönlichen Daten der Benutzer, gehörten Kunden einer Gruppe von Online-Casinos.
AEinige Sicherheitsforscher haben seit Mai 2018 vor den gleichen Gefahren gewarnt Wenn Unternehmen SonarQube-Anwendungen mit Standardanmeldeinformationen online verfügbar machen.
Zu diesem Zeitpunkt warnte der Cybersicherheitsberater Bob Diachenko, der sich auf das Auffinden von Datenverletzungen konzentriert, dass bei etwa 30-40% der rund 3,000 SonarQube-Instanzen, die zu diesem Zeitpunkt online verfügbar waren, kein Kennwort oder Authentifizierungsmechanismus aktiviert war.
Quelle: https://blog.sonarsource.com