Föderaalne juurdlusbüroo (FBI) saatis möödunud oktoobris hoiatuse ettevõtete ja valitsusorganisatsioonide turvateenustele.
Dokument lekkis eelmisel nädalal väidab, et tundmatud häkkerid kasutasid haavatavust ära SonarQube'i koodi kinnitamise platvormil lähtekoodihoidlatele juurdepääsuks. See viib lähtekoodi lekitamiseni valitsusasutustelt ja eraettevõtetelt.
FBI hoiatus hoiatas SonarQube'i omanikke, veebirakendus, mille ettevõtted integreerivad oma tarkvaraehitusahelatesse, et testida lähtekoodi ja avastada turvaauke enne koodi ja rakenduste väljaandmist tootmiskeskkondades.
Häkkerid kasutavad ära teadaolevad konfiguratsioonide nõrkused, võimaldades neil omandikoodile juurde pääseda, seda välja filtreerida ja andmeid avaldada. FBI on tuvastanud mitu potentsiaalset arvuti sissetungi, mis on seotud SonarQube'i konfiguratsioonihaavatavustega seotud lekkimistega.
Rakendused SonarQube on installitud veebiserveritesse ja ühendage koodimajutussüsteemidega näiteks BitBucketi, GitHubi või GitLabi kontod või Azure DevOpsi süsteemid.
FBI teatel, mõned ettevõtted on jätnud need süsteemid kaitsmata, töötab vaikekonfiguratsiooni (pordil 9000) ja vaikehalduse mandaatidega (admin / admin). Häkkerid on SonarQube'i valesti seadistatud rakendusi kuritarvitanud vähemalt alates 2020. aasta aprillist.
„Alates 2020. aasta aprillist on tuvastamata dokid aktiivselt haavatavatele SonarQube'i eksemplaridele suunatud, et pääseda juurde USA valitsusasutuste ja eraettevõtete lähtekoodihoidlatele.
Häkkerid kasutavad teadaolevaid konfiguratsioonihaavandeid, võimaldades neil pääseda juurde varalisele koodile, seda välja filtreerida ja andmeid avalikult kuvada. FBI on tuvastanud mitu potentsiaalset arvuti sissetungi, mis on seotud SonarQube'i konfiguratsiooni haavatavustega seotud lekkimistega, ”seisab FBI dokumendis.
Ametniku ametnikud FBI väidab, et häkkerid kuritarvitasid neid valesid seadeid SonarQube'i eksemplaridele juurde pääsemiseks lülituge ühendatud lähtekoodihoidlatesse ning seejärel pääsete juurde ja varastage varalisi või privaatseid / tundlikke rakendusi. FBI ametnikud toetasid oma hoiatust, tuues kaks näidet varasematel kuudel toimunud varasematest juhtumitest:
„Augustis 2020 avalikustasid nad avaliku elutsükli hoidla tööriista kaudu kahe organisatsiooni siseandmed. Varastatud andmed pärinesid SonarQube'i eksemplaridest, kasutades vaikepordi sätteid ja mõjutatud organisatsioonide võrkudes töötavaid administraatori mandaate.
„See tegevus sarnaneb eelmise andmeturvalisusega 2020. aasta juulis, kus tuvastatud kübernäitleja filtreeris ettevõtte lähtekoodi halvasti turvatud SonarQube'i eksemplaride kaudu ja avaldas väljafiltritud lähtekoodi ise hostitud avalikus hoidlas. «,
FBI hoiatus puudutab vähetuntud teemat tarkvaraarendajate ja turvalisuse uurijate poolt.
kuigi küberturbe tööstus on sageli ohtudest hoiatanudKui jätate MongoDB või Elasticsearch andmebaasid võrguühenduseta paroolita, on SonarQube valvamisest pääsenud.
Tegelikult on Teadlased on sageli leidnud MongoDB või Elasticsearch juhtumeid en línea mis paljastavad andmeid üle kümneid miljoneid kaitsmata kliente.
Näiteks avastas turvauuringute uurija Justin Paine 2019. aasta jaanuaris valesti seadistatud veebipõhise Elasticsearchi andmebaasi, paljastades haavatavuse avastanud ründajate armus märkimisväärse hulga klientide kirjeid.
Veebikasiinode rühma klientidele kuulus teave enam kui 108 miljoni panuse kohta, sealhulgas kasutajate isikliku teabe üksikasjad.
SiiskiMõned turvauurijad on alates 2018. aasta maist hoiatanud samade ohtude eest kui ettevõtted jätavad SonarQube'i rakendused võrgus avalikuks vaikimisi.
Toona hoiatas andmerikkumiste leidmisele keskendunud küberturvalisuse konsultant Bob Diachenko, et umbes 30–40% sel ajal võrgus kättesaadavatest umbes 3,000 SonarQube'i eksemplarist ei olnud parooli ega autentimismehhanismi aktiveeritud.
allikas: https://blog.sonarsource.com