संघीय जांच ब्यूरो (एफबीआई) ने पिछले साल अक्टूबर में चेतावनी भेजी थी कंपनियों और सरकारी संगठनों की सुरक्षा सेवाओं के लिए।
दस्तावेज़ पिछले सप्ताह लीक हो गया दावा है कि अज्ञात हैकर्स ने एक भेद्यता का लाभ उठाया सोनारक्यूब कोड सत्यापन प्लेटफ़ॉर्म पर स्रोत कोड रिपोजिटरी तक पहुँच पाने के लिए। इससे सरकारी एजेंसियों और निजी कंपनियों से स्रोत कोड लीक होता है।
एफबीआई अलर्ट ने सोनारक्यूब मालिकों को चेतावनी दी, एक वेब एप्लिकेशन जो कंपनियां अपने सॉफ़्टवेयर में एकीकृत करती हैं, स्रोत कोड का परीक्षण करने के लिए चेन का निर्माण करती हैं और उत्पादन वातावरण में कोड और एप्लिकेशन जारी करने से पहले सुरक्षा छिद्रों की खोज करती हैं।
हैकर्स ज्ञात कॉन्फ़िगरेशन कमजोरियों का लाभ उठाते हैं, उन्हें मालिकाना कोड का उपयोग करने की अनुमति देता है, इसे एक्सफ़िल्ट्रेट करता है, और डेटा प्रकाशित करता है। एफबीआई ने कई संभावित कंप्यूटर घुसपैठों की पहचान की है जो सोनारक्यूब कॉन्फ़िगरेशन कमजोरियों से जुड़े लीक से संबंधित हैं।
के आवेदन सोनारक्यूब वेब सर्वर पर स्थापित हैं और कोड होस्टिंग सिस्टम से कनेक्ट करें BitBucket, GitHub, या GitLab खातों या Azure DevOps सिस्टम जैसे स्रोत।
एफबीआई के अनुसार, कुछ कंपनियों ने इन प्रणालियों को असुरक्षित छोड़ दिया है, अपने डिफ़ॉल्ट कॉन्फ़िगरेशन (पोर्ट 9000 पर) और डिफ़ॉल्ट प्रशासन क्रेडेंशियल (व्यवस्थापक / व्यवस्थापक) के साथ चल रहा है। हैकर्स ने कम से कम अप्रैल 2020 से सोनारक्यूब अनुप्रयोगों का गलत इस्तेमाल किया है।
“अप्रैल 2020 से, अज्ञात डॉक अमेरिकी सरकार की एजेंसियों और निजी कंपनियों से स्रोत कोड रिपोजिटरी तक पहुंच प्राप्त करने के लिए सक्रिय रूप से सोनारक्यूब उदाहरणों को लक्षित कर रहे हैं।
हैकर्स ज्ञात कॉन्फ़िगरेशन कमजोरियों का शोषण करते हैं, जिससे उन्हें मालिकाना कोड का उपयोग करने की अनुमति मिलती है, इसे बहिष्कृत करते हैं, और सार्वजनिक रूप से डेटा प्रदर्शित करते हैं। एफबीआई ने कई संभावित कंप्यूटर घुसपैठों की पहचान की है जो सोनारक्यूब कॉन्फ़िगरेशन में कमजोरियों से जुड़े लीक से संबंधित हैं, "एफबीआई दस्तावेज़ पढ़ता है।
के अधिकारी FBI का कहना है कि हैकर्स ने इन गलत सेटिंग्स का दुरुपयोग किया है सोनारक्यूब इंस्टेंसेस का उपयोग करने के लिए, कनेक्टेड सोर्स कोड रिपॉजिटरी पर स्विच करें, और फिर मालिकाना या निजी / संवेदनशील अनुप्रयोगों तक पहुंचें और चोरी करें। एफबीआई अधिकारियों ने पिछले महीनों में हुई पिछली घटनाओं के दो उदाहरण प्रदान करके अपने अलर्ट का समर्थन किया:
“अगस्त 2020 में, उन्होंने सार्वजनिक जीवन चक्र रिपॉजिटरी टूल के माध्यम से दो संगठनों के आंतरिक डेटा का खुलासा किया। चोरी किए गए डेटा सोनारक्यूब उदाहरणों से प्रभावित संगठनों के नेटवर्क पर चल रहे डिफ़ॉल्ट पोर्ट सेटिंग्स और प्रशासनिक क्रेडेंशियल्स का उपयोग करते हैं।
“यह गतिविधि जुलाई 2020 में एक पिछले डेटा उल्लंघन के समान है, जिसमें एक पहचान वाले साइबर अभिनेता ने कंपनी के स्रोत कोड को खराब रूप से सुरक्षित सोनारक्यूब इंस्टेंस के माध्यम से एक्सफ़िल्ट किया और एक्सफ़िल्ट किए गए स्रोत कोड को स्वयं-होस्ट किए गए सार्वजनिक रिपॉजिटरी में प्रकाशित किया। «,
एफबीआई अलर्ट अल्पज्ञात विषय पर स्पर्श करता है सॉफ्टवेयर डेवलपर्स और सुरक्षा शोधकर्ताओं द्वारा।
सी bien साइबर सुरक्षा उद्योग ने अक्सर खतरों की चेतावनी दी हैएक पासवर्ड के बिना ऑनलाइन उजागर किए गए MongoDB या एलिटिक्स खोज डेटाबेस को छोड़ने से सोनारक्यूब निगरानी से बच गया है।
वास्तव में, शोधकर्ताओं ने अक्सर MongoDB या एलिटिक्स खोज के उदाहरण पाए हैं ऑन लाइन डेटा को उजागर करें असुरक्षित ग्राहकों के लाखों से अधिक।
उदाहरण के लिए, जनवरी 2019 में, जस्टिन पाइन, एक सुरक्षा शोधकर्ता, ने एक गलतफहमी ऑनलाइन एलिटिक्स खोज डेटाबेस की खोज की, जिसने हमलावरों की दया पर एक महत्वपूर्ण संख्या को उजागर किया, जिन्होंने भेद्यता की खोज की।
उपयोगकर्ताओं की व्यक्तिगत जानकारी के विवरण सहित 108 मिलियन से अधिक दांव पर जानकारी, ऑनलाइन कैसीनो के एक समूह के ग्राहकों की थी।
हालाँकि, एकुछ सुरक्षा शोधकर्ताओं ने मई 2018 से उन्हीं खतरों के प्रति आगाह किया है जब कंपनियां सोनारक्यूब एप्लिकेशन को डिफ़ॉल्ट क्रेडेंशियल के साथ ऑनलाइन उजागर करती हैं।
उस समय, साइबर सुरक्षा सलाहकार, जो डेटा उल्लंघनों को खोजने पर ध्यान केंद्रित करते हैं, बॉब डियाचेंको ने चेतावनी दी कि उस समय ऑनलाइन उपलब्ध लगभग 30 सोनारक्यूब उदाहरणों में से 40-3,000% के पास कोई पासवर्ड या प्रमाणीकरण तंत्र सक्रिय नहीं था।
Fuente: https://blog.sonarsource.com