Το Ομοσπονδιακό Γραφείο Ερευνών (FBI) έστειλε προειδοποίηση τον περασμένο Οκτώβριο στις υπηρεσίες ασφαλείας εταιρειών και κυβερνητικών οργανισμών.
Το έγγραφο διέρρευσε την περασμένη εβδομάδα ισχυρίζεται ότι άγνωστοι χάκερ εκμεταλλεύτηκαν μια ευπάθεια στην πλατφόρμα επαλήθευσης κώδικα SonarQube για να αποκτήσετε πρόσβαση σε αποθετήρια πηγαίου κώδικα. Αυτό οδηγεί σε διαρροές πηγαίου κώδικα από κυβερνητικές υπηρεσίες και ιδιωτικές εταιρείες.
Η ειδοποίηση του FBI προειδοποίησε τους ιδιοκτήτες SonarQube, μια εφαρμογή ιστού που οι εταιρείες ενσωματώνουν στις αλυσίδες δημιουργίας λογισμικού για να δοκιμάσουν τον πηγαίο κώδικα και να ανακαλύψουν τρύπες ασφαλείας πριν κυκλοφορήσουν κώδικα και εφαρμογές σε περιβάλλοντα παραγωγής.
Οι χάκερ εκμεταλλεύονται τις γνωστές ευπάθειες διαμόρφωσης, επιτρέποντάς τους να αποκτήσουν πρόσβαση σε ιδιόκτητο κώδικα, να τον αποβάλλουν και να δημοσιεύσουν δεδομένα. Το FBI έχει εντοπίσει πολλές πιθανές εισβολές στον υπολογιστή που σχετίζονται με διαρροές που σχετίζονται με ευπάθειες διαμόρφωσης SonarQube.
Οι αιτήσεις του Το SonarQube είναι εγκατεστημένο σε διακομιστές ιστού και συνδεθείτε σε συστήματα φιλοξενίας κώδικα πηγή όπως λογαριασμοί BitBucket, GitHub ή GitLab ή συστήματα Azure DevOps.
Σύμφωνα με το FBI, ορισμένες εταιρείες έχουν αφήσει αυτά τα συστήματα απροστάτευτα, εκτελείται με την προεπιλεγμένη διαμόρφωση (στη θύρα 9000) και τα προεπιλεγμένα διαπιστευτήρια διαχείρισης (διαχειριστής / διαχειριστής). Οι χάκερ έχουν κάνει κατάχρηση εσφαλμένων ρυθμίσεων εφαρμογών SonarQube από τουλάχιστον τον Απρίλιο του 2020.
«Από τον Απρίλιο του 2020, τα άγνωστα dok έχουν στοχεύσει ενεργά σε ευπαθείς περιπτώσεις SonarQube για να αποκτήσουν πρόσβαση σε αποθετήρια πηγαίου κώδικα από κυβερνητικές υπηρεσίες των ΗΠΑ και ιδιωτικές εταιρείες.
Οι χάκερ εκμεταλλεύονται γνωστές ευπάθειες διαμόρφωσης, επιτρέποντάς τους να αποκτήσουν πρόσβαση σε ιδιόκτητο κώδικα, να τον διεισδύσουν και να εμφανίσουν δεδομένα δημόσια. Το FBI έχει εντοπίσει πολλές πιθανές παρεμβολές στον υπολογιστή που σχετίζονται με διαρροές που σχετίζονται με ευπάθειες στη διαμόρφωση SonarQube », αναφέρει το έγγραφο FBI.
Οι αξιωματούχοι του Το FBI λέει ότι οι απειλητικοί χάκερ κακοποίησαν αυτές τις εσφαλμένες ρυθμίσεις για πρόσβαση σε παρουσίες SonarQube, μετάβαση σε συνδεδεμένα αποθετήρια πηγαίου κώδικα και, στη συνέχεια, πρόσβαση και κλοπή ιδιόκτητων ή ιδιωτικών / ευαίσθητων εφαρμογών. Αξιωματούχοι του FBI υποστήριξαν την προειδοποίησή τους παρέχοντας δύο παραδείγματα προηγούμενων περιστατικών που συνέβησαν τους προηγούμενους μήνες:
«Τον Αύγουστο του 2020, αποκάλυψαν εσωτερικά δεδομένα για δύο οργανισμούς μέσω ενός δημόσιου εργαλείου αποθήκευσης κύκλου ζωής. Τα κλεμμένα δεδομένα προέρχονταν από παρουσίες SonarQube χρησιμοποιώντας προεπιλεγμένες ρυθμίσεις θύρας και διαπιστευτήρια διαχειριστή που εκτελούνται στα δίκτυα των επηρεαζόμενων οργανισμών.
«Αυτή η δραστηριότητα είναι παρόμοια με μια προηγούμενη παραβίαση δεδομένων τον Ιούλιο του 2020, κατά την οποία ένας αναγνωρισμένος ηθοποιός στον κυβερνοχώρο διήρκεσε τον πηγαίο κώδικα της εταιρείας μέσω ανεπαρκώς ασφαλισμένων παρουσιών SonarQube και δημοσίευσε τον πηγαίο πηγαίο κώδικα σε ένα δημόσιο αποθετήριο. . «,
Η προειδοποίηση του FBI αγγίζει το άγνωστο θέμα από προγραμματιστές λογισμικού και ερευνητές ασφαλείας.
Ενώ η βιομηχανία ασφάλειας στον κυβερνοχώρο έχει συχνά προειδοποιήσει για κινδύνουςΑπό το να αφήσετε τις βάσεις δεδομένων MongoDB ή Elasticsearch εκτεθειμένες στο Διαδίκτυο χωρίς κωδικό πρόσβασης, το SonarQube έχει αποφύγει την παρακολούθηση.
Στην πραγματικότητα, το Οι ερευνητές έχουν βρει συχνά περιπτώσεις MongoDB ή Elasticsearch σε απευθείας σύνδεση που εκθέτουν δεδομένα πάνω από δεκάδες εκατομμύρια μη προστατευμένους πελάτες.
Για παράδειγμα, τον Ιανουάριο του 2019, ο Justin Paine, ερευνητής ασφαλείας, ανακάλυψε μια διαδικτυακή βάση δεδομένων Elasticsearch που δεν έχει διαμορφωθεί σωστά, εκθέτοντας έναν σημαντικό αριθμό αρχείων πελατών στο έλεος των επιτιθέμενων που ανακάλυψαν την ευπάθεια.
Πληροφορίες για περισσότερα από 108 εκατομμύρια στοιχήματα, συμπεριλαμβανομένων των στοιχείων των προσωπικών στοιχείων των χρηστών, ανήκαν σε πελάτες μιας ομάδας διαδικτυακών καζίνο.
Ωστόσο, αΟρισμένοι ερευνητές ασφαλείας προειδοποίησαν από τον Μάιο του 2018 για τους ίδιους κινδύνους όταν οι εταιρείες αφήνουν τις εφαρμογές SonarQube εκτεθειμένες στο διαδίκτυο με προεπιλεγμένα διαπιστευτήρια.
Εκείνη την εποχή, ο σύμβουλος ασφάλειας στον κυβερνοχώρο που επικεντρώνεται στην εύρεση παραβιάσεων δεδομένων, ο Bob Diachenko, προειδοποίησε ότι περίπου το 30-40% των περίπου 3,000 παρουσιών SonarQube που ήταν διαθέσιμες στο διαδίκτυο τότε δεν είχαν ενεργοποιημένο κωδικό πρόσβασης ή μηχανισμό ελέγχου ταυτότητας.
πηγή: https://blog.sonarsource.com