Liittovaltion tutkintatoimisto (FBI) lähetti varoituksen viime lokakuussa yritysten ja valtion järjestöjen turvallisuuspalveluille.
Asiakirja vuotoi viime viikolla väittää tuntemattomat hakkerit hyödyntivät haavoittuvuutta SonarQube-koodinvahvistusalustalla päästä lähdekoodivarastoihin. Tämä johtaa lähdekoodivuotoihin valtion virastoilta ja yksityisiltä yrityksiltä.
FBI-varoitus varoitti SonarQube-omistajia verkkosovellus, jonka yritykset integroivat ohjelmistokehitysketjuihinsa testatakseen lähdekoodia ja löytääkseen tietoturva-aukkoja ennen koodin ja sovellusten julkaisemista tuotantoympäristöissä.
Hakkerit hyödyntävät tunnettuja määrityshaavoittuvuuksia, antamalla heille pääsyn omaan koodiin, suodattamalla sen ja julkaisemalla tietoja. FBI on tunnistanut useita potentiaalisia tietokoneiden tunkeutumisia, jotka korreloivat SonarQube-kokoonpanohaavoittuvuuksiin liittyvien vuotojen kanssa.
Sovellukset SonarQube on asennettu verkkopalvelimiin ja muodosta yhteys koodin isäntäjärjestelmiin lähde, kuten BitBucket-, GitHub- tai GitLab-tilit tai Azure DevOps -järjestelmät.
FBI: n mukaan, jotkut yritykset ovat jättäneet nämä järjestelmät suojaamattomiksi, käynnissä oletusasetuksillaan (portissa 9000) ja oletusasetuksilla (admin / admin). Hakkerit ovat käyttäneet väärin määritettyjä SonarQube-sovelluksia ainakin huhtikuusta 2020 lähtien.
"Tunnistamattomat haksit ovat huhtikuusta 2020 lähtien kohdistaneet aktiivisesti haavoittuvia SonarQube-esiintymiä saadakseen pääsyn lähdekoodivarastoihin Yhdysvaltain valtion virastoilta ja yksityisiltä yrityksiltä.
Hakkerit hyödyntävät tunnettuja kokoonpanohaavoittuvuuksia ja antavat heille mahdollisuuden käyttää omaa koodia, suodattaa sitä ja näyttää tietoja julkisesti. FBI on havainnut useita potentiaalisia tietokoneiden tunkeutumisia, jotka korreloivat SonarQube-kokoonpanon haavoittuvuuksiin liittyvien vuotojen kanssa ", FBI-asiakirja lukee.
Viraston virkamiehet FBI: n mukaan uhka hakkerit väärinkäyttivät näitä virheellisiä asetuksia päästäksesi käyttämään SonarQube-ilmentymiä, siirtymään yhdistettyihin lähdekoodivarastoihin ja käyttämään ja varastamaan omia tai yksityisiä / arkaluontoisia sovelluksia. FBI: n virkamiehet tukivat hälytystään antamalla kaksi esimerkkiä aikaisempina kuukausina tapahtuneista tapahtumista:
”Elokuussa 2020 he paljastivat kahden organisaation sisäiset tiedot julkisen elinkaarivarastotyökalun avulla. Varastetut tiedot tulivat SonarQube-ilmentymistä, jotka käyttivät portin oletusasetuksia ja järjestelmänvalvojan tunnistetietoja, joita suoritettiin asianomaisten organisaatioiden verkoissa.
"Tämä toiminta on samanlainen kuin edellinen heinäkuussa 2020 tapahtunut tietorikkomus, jossa tunnistettu kyber toimija suodatti yrityksen lähdekoodin heikosti turvattujen SonarQube-ilmentymien kautta ja julkaisi suodatetun lähdekoodin itse isännöimään julkiseen arkistoon. «,
FBI-hälytys koskettaa vähän tunnettua aihetta ohjelmistokehittäjät ja tietoturvatutkijat.
kun taas kyberturvallisuusala on usein varoittanut vaaroistaSonarQube on päässyt valvonnasta poistumatta MongoDB- tai Elasticsearch-tietokannoista verkossa ilman salasanaa.
Itse asiassa Tutkijat ovat usein löytäneet MongoDB- tai Elasticsearch-tapauksia on-line jotka paljastavat tietoja yli kymmeniä miljoonia suojaamattomia asiakkaita.
Esimerkiksi tammikuussa 2019 tietoturvatutkija Justin Paine löysi väärin määritetyn online-Elasticsearch-tietokannan ja paljasti merkittävän määrän asiakastietoja haavoittuvuuden löytäneiden hyökkääjien armosta.
Tiedot yli 108 miljoonasta vedosta, mukaan lukien yksityiskohdat käyttäjien henkilökohtaisista tiedoista, kuuluivat online-kasinoryhmän asiakkaille.
Kuitenkin aJotkut turvallisuustutkijat ovat varoittaneet toukokuusta 2018 lähtien samoista vaaroista kun yritykset jättävät SonarQube-sovellukset näkyville verkossa oletusarvoisilla tunnuksilla.
Tuolloin tietoturvaloukkausten löytämiseen keskittynyt kyberturvallisuuskonsultti Bob Diachenko varoitti, että noin 30–40 prosentilla noin 3,000 SonarQube-instanssista, jotka olivat käytettävissä verkossa tuolloin, ei ollut aktivoitu salasanaa tai todennusmekanismia.
lähde: https://blog.sonarsource.com