連邦捜査局 (FBI)は昨年XNUMX月に警告を送信しました 企業や政府機関のセキュリティサービスに。
先週、文書が漏洩した 未知のハッカーが脆弱性を利用したと主張 SonarQubeコード検証プラットフォーム上 ソースコードリポジトリにアクセスするには。 これは、政府機関や民間企業からのソースコードの漏洩につながります。
FBIの警告は、SonarQubeの所有者に警告しました。 企業がソフトウェアビルドチェーンに統合してソースコードをテストし、セキュリティホールを発見してから、本番環境でコードとアプリケーションをリリースするWebアプリケーション。
ハッカーは、既知の構成の脆弱性を利用します。 プロプライエタリコードにアクセスし、それを盗み出し、データを公開できるようにします。 FBIは、SonarQube構成の脆弱性に関連するリークと相関する複数の潜在的なコンピューター侵入を特定しました。
のアプリケーション SonarQubeはWebサーバーにインストールされます コードホスティングシステムに接続します BitBucket、GitHub、GitLabアカウント、またはAzureDevOpsシステムなどのソース。
FBIによると、一部の企業はこれらのシステムを保護せずに残しています、 デフォルト構成(ポート9000)およびデフォルトの管理資格情報(admin / admin)で実行されます。 ハッカーは、少なくとも2020年XNUMX月以降、誤って構成されたSonarQubeアプリケーションを悪用しています。
「2020年XNUMX月以降、身元不明のドックは、脆弱なSonarQubeインスタンスを積極的に標的にして、米国の政府機関や民間企業からソースコードリポジトリにアクセスできるようにしています。
ハッカーは既知の構成の脆弱性を悪用して、独自のコードにアクセスし、それを盗み出し、データを公開することを可能にします。 FBIは、SonarQube構成の脆弱性に関連するリークに関連する複数の潜在的なコンピューター侵入を特定しました」とFBI文書は述べています。
の役人 FBIは脅威ハッカーがこれらの誤った設定を悪用したと言います SonarQubeインスタンスにアクセスし、接続されたソースコードリポジトリに切り替えてから、プロプライエタリまたはプライベート/機密性の高いアプリケーションにアクセスして盗みます。 FBI当局は、前月に発生した過去の事件のXNUMXつの例を提供することにより、警告を裏付けました。
「2020年XNUMX月、彼らは公開ライフサイクルリポジトリツールを通じてXNUMXつの組織の内部データを明らかにしました。 盗まれたデータは、影響を受ける組織のネットワークで実行されているデフォルトのポート設定と管理者資格情報を使用して、SonarQubeインスタンスから取得されました。
「このアクティビティは、2020年XNUMX月の以前のデータ侵害に似ています。このデータ漏えいでは、特定されたサイバー攻撃者が、セキュリティが不十分なSonarQubeインスタンスを介して会社のソースコードを盗み出し、盗み出されたソースコードを自己ホスト型の公開リポジトリに公開しました。 «、
FBIアラートはあまり知られていないトピックに触れています ソフトウェア開発者とセキュリティ研究者による。
Siのビエン サイバーセキュリティ業界はしばしば危険を警告してきました■MongoDBまたはElasticsearchデータベースをパスワードなしでオンラインで公開したままにしておくことで、SonarQubeは監視を免れました。
実際には、 研究者は、MongoDBまたはElasticsearchのインスタンスを頻繁に発見しています ・オンライン データを公開する 数千万を超える保護されていないクライアント。
たとえば、2019年XNUMX月、セキュリティ研究者のJustin Paineは、誤って構成されたオンラインElasticsearchデータベースを発見し、脆弱性を発見した攻撃者に翻弄されて多数の顧客レコードを公開しました。
ユーザーの個人情報の詳細を含む108億XNUMX万以上の賭けに関する情報は、オンラインカジノのグループの顧客のものでした。
しかし、一部のセキュリティ研究者は、2018年XNUMX月以降同じ危険性について警告しています 企業がSonarQubeアプリケーションをデフォルトの資格情報でオンラインに公開したままにする場合。
当時、データ侵害の発見に焦点を当てているサイバーセキュリティコンサルタントのBob Diachenkoは、当時オンラインで利用可能な約30のSonarQubeインスタンスの約40〜3,000%で、パスワードまたは認証メカニズムがアクティブ化されていないと警告しました。
出典 https://blog.sonarsource.com