Biro Investigasi Federal (FBI) mengirim peringatan Oktober lalu ke layanan keamanan perusahaan dan organisasi pemerintah.
Dokumen itu bocor minggu lalu mengklaim peretas tak dikenal memanfaatkan kerentanan di platform verifikasi kode SonarQube untuk mengakses repositori kode sumber. Hal ini menyebabkan kebocoran kode sumber dari lembaga pemerintah dan perusahaan swasta.
Peringatan FBI memperingatkan pemilik SonarQube, aplikasi web yang diintegrasikan oleh perusahaan ke dalam rantai pembuatan perangkat lunak mereka untuk menguji kode sumber dan menemukan lubang keamanan sebelum merilis kode dan aplikasi di lingkungan produksi.
Peretas memanfaatkan kerentanan konfigurasi yang diketahui, memungkinkan mereka untuk mengakses kode kepemilikan, mengekstraknya, dan mempublikasikan data. FBI telah mengidentifikasi beberapa gangguan komputer potensial yang berkorelasi dengan kebocoran yang terkait dengan kerentanan konfigurasi SonarQube.
Aplikasi dari SonarQube diinstal di server web dan terhubung ke sistem hosting kode sumber seperti akun BitBucket, GitHub, atau GitLab, atau sistem Azure DevOps.
Menurut FBI, beberapa perusahaan membiarkan sistem ini tidak terlindungi, berjalan dengan konfigurasi default (pada port 9000) dan kredensial administrasi default (admin / admin). Peretas telah menyalahgunakan aplikasi SonarQube yang salah konfigurasi sejak setidaknya April 2020.
“Sejak April 2020, dok tak dikenal telah aktif menargetkan instans SonarQube yang rentan untuk mendapatkan akses ke repositori kode sumber dari lembaga pemerintah AS dan perusahaan swasta.
Peretas mengeksploitasi kerentanan konfigurasi yang diketahui, memungkinkan mereka mengakses kode kepemilikan, mengekstraknya, dan menampilkan data secara publik. FBI telah mengidentifikasi beberapa gangguan komputer potensial yang berkorelasi dengan kebocoran yang terkait dengan kerentanan dalam konfigurasi SonarQube, ”dokumen FBI membaca.
Para pejabat dari FBI Mengatakan Ancaman Peretas Menyalahgunakan Pengaturan yang Salah Ini untuk mengakses instans SonarQube, beralih ke repositori kode sumber yang terhubung, kemudian mengakses dan mencuri aplikasi berpemilik atau pribadi / sensitif. Pejabat FBI mendukung kewaspadaan mereka dengan memberikan dua contoh insiden masa lalu yang terjadi pada bulan-bulan sebelumnya:
“Pada Agustus 2020, mereka mengungkapkan data internal dua organisasi melalui alat repositori siklus hidup publik. Data yang dicuri berasal dari instance SonarQube menggunakan pengaturan port default dan kredensial administratif yang berjalan di jaringan organisasi yang terpengaruh.
“Aktivitas ini mirip dengan pelanggaran data sebelumnya pada Juli 2020, di mana seorang aktor dunia maya yang teridentifikasi mengeksfiltrasi kode sumber perusahaan melalui instans SonarQube yang tidak diamankan dengan baik dan memposting kode sumber yang dieksfiltrasi ke repositori publik yang dihosting sendiri. «,
Peringatan FBI menyentuh topik yang kurang diketahui oleh pengembang perangkat lunak dan peneliti keamanan.
Sementara industri keamanan siber sering memperingatkan bahayaKarena meninggalkan database MongoDB atau Elasticsearch yang terbuka secara online tanpa kata sandi, SonarQube telah lolos dari pengawasan.
Bahkan, itu Para peneliti sering menemukan contoh MongoDB atau Elasticsearch online yang mengekspos data lebih dari puluhan juta klien yang tidak terlindungi.
Misalnya, pada Januari 2019, Justin Paine, seorang peneliti keamanan, menemukan basis data Elasticsearch online yang salah dikonfigurasi, yang memperlihatkan sejumlah besar catatan pelanggan kepada belas kasihan penyerang yang menemukan kerentanan tersebut.
Informasi tentang lebih dari 108 juta taruhan, termasuk rincian informasi pribadi pengguna, adalah milik pelanggan sekelompok kasino online.
Namun, untukBeberapa peneliti keamanan telah memperingatkan sejak Mei 2018 tentang bahaya yang sama ketika perusahaan membiarkan aplikasi SonarQube terbuka online dengan kredensial default.
Pada saat itu, konsultan keamanan siber yang berfokus untuk menemukan pelanggaran data, Bob Diachenko, memperingatkan bahwa sekitar 30-40% dari sekitar 3,000 instans SonarQube yang tersedia secara online pada saat itu tidak memiliki sandi atau mekanisme otentikasi yang diaktifkan.
sumber: https://blog.sonarsource.com