Savezni istražni ured (FBI) poslao je upozorenje prošlog listopada sigurnosnim službama tvrtki i vladinih organizacija.
Dokument je procurio prošlog tjedna tvrdi da su nepoznati hakeri iskoristili ranjivost na platformi za provjeru koda SonarQube da biste dobili pristup spremištima izvornog koda. To dovodi do curenja izvornog koda iz državnih agencija i privatnih tvrtki.
FBI-jevo upozorenje upozorilo je vlasnike SonarQubea, web aplikacija koju tvrtke integriraju u svoj lanac gradnje softvera za testiranje izvornog koda i otkrivanje sigurnosnih rupa prije objavljivanja koda i aplikacija u proizvodnim okruženjima.
Hakeri iskorištavaju poznate ranjivosti konfiguracije, omogućujući im pristup vlasničkom kodu, njegovo filtriranje i objavljivanje podataka. FBI je identificirao više potencijalnih upada u računala koji su povezani s curenjem povezanim s ranjivostima konfiguracije SonarQube.
Primjene SonarQube su instalirani na web poslužiteljima i povezati se sa sustavima za hosting koda izvor poput BitBucket, GitHub ili GitLab računa ili Azure DevOps sustava.
Prema FBI-u, neke su tvrtke ostavile ove sustave nezaštićenima, pokrenut sa svojom zadanom konfiguracijom (na priključku 9000) i zadanim vjerodajnicama za administraciju (admin / admin). Hakeri su zlostavljali pogrešno konfigurirane SonarQube aplikacije barem od travnja 2020.
„Od travnja 2020., neidentificirani dokovi aktivno ciljaju ranjive slučajeve SonarQube kako bi od američkih vladinih agencija i privatnih tvrtki dobili pristup spremištima izvornog koda.
Hakeri iskorištavaju poznate ranjivosti konfiguracije, omogućujući im pristup vlasničkom kodu, njegovu eksfiltraciju i javni prikaz podataka. FBI je identificirao više potencijalnih upada u računala koji su povezani s curenjem povezanim s ranjivostima u konfiguraciji SonarQube ”, navodi se u FBI-jevom dokumentu.
Službenici FBI kaže da su hakeri prijetnjama zloupotrijebili ove netočne postavke za pristup instancama SonarQube, prebacite se na povezana spremišta izvornog koda, a zatim pristupite i ukradite vlasničke ili privatne / osjetljive programe. Službenici FBI-a podržali su svoju uzbunu dajući dva primjera prošlih incidenata koji su se dogodili prethodnih mjeseci:
„U kolovozu 2020. otkrili su interne podatke za dvije organizacije putem alata za javno spremište životnog ciklusa. Ukradeni podaci dolazili su iz instanci SonarQube koristeći zadane postavke porta i administrativne vjerodajnice koje se izvode na mrežama pogođenih organizacija.
“Ova je aktivnost slična prethodnom kršenju podataka u srpnju 2020. godine, u kojem je identificirani cyber akter ekspriltirao izvorni kod tvrtke kroz loše osigurane instance SonarQube i objavio eksfiltrirani izvorni kôd u samostalnom javnom spremištu. «,
FBI-jevo upozorenje dotiče se malo poznate teme programera softvera i istraživača sigurnosti.
dok industrija kibernetičke sigurnosti često je upozoravala na opasnostiOd napuštanja baza podataka MongoDB ili Elasticsearch izloženih na mreži bez lozinke, SonarQube je izbjegao nadzor.
U stvari, the Istraživači su često pronalazili slučajeve MongoDB-a ili Elasticsearch-a on-line koji izlažu podatke preko desetaka milijuna nezaštićenih klijenata.
Primjerice, u siječnju 2019. Justin Paine, istraživač sigurnosti, otkrio je pogrešno konfiguriranu internetsku bazu podataka Elasticsearch, izlažući značajan broj evidencija kupaca na milost i nemilost napadačima koji su otkrili ranjivost.
Informacije o više od 108 milijuna oklada, uključujući detalje o osobnim podacima korisnika, pripadale su kupcima grupe internetskih kockarnica.
Međutim, daNeki istraživači sigurnosti upozoravaju od svibnja 2018. na iste opasnosti kada tvrtke ostave SonarQube programe izložene na mreži sa zadanim vjerodajnicama.
U to je vrijeme savjetnik za kibernetsku sigurnost, koji se fokusira na pronalaženje kršenja podataka, Bob Diachenko, upozorio da oko 30-40% od otprilike 3,000 primjeraka SonarQube dostupnih na mreži u to vrijeme nije imalo aktiviranu lozinku ili mehanizam za provjeru autentičnosti.
izvor: https://blog.sonarsource.com