해커가 미국 정부 기관 및 민간 기업의 소스 코드를 훔쳤습니다.

Darkcrizt

4 분

연방 수사 국 (FBI) 지난 XNUMX 월 경고를 보냈습니다 기업 및 정부 기관의 보안 서비스에.

지난주에 유출 된 문서 알려지지 않은 해커가 취약점을 이용했다고 주장 SonarQube 코드 검증 플랫폼에서 소스 코드 저장소에 액세스하려면. 이로 인해 정부 기관 및 민간 기업에서 소스 코드가 유출됩니다.

FBI 경보는 SonarQube 소유자에게 경고했습니다. 회사가 소프트웨어 빌드 체인에 통합하여 프로덕션 환경에서 코드와 애플리케이션을 출시하기 전에 소스 코드를 테스트하고 보안 허점을 발견하는 웹 애플리케이션입니다.

해커는 알려진 구성 취약점을 이용합니다. 독점 코드에 액세스하고이를 유출하고 데이터를 게시 할 수 있습니다. FBI는 SonarQube 구성 취약점과 관련된 누출과 관련된 여러 잠재적 컴퓨터 침입을 식별했습니다.

의 응용 SonarQube는 웹 서버에 설치됩니다. 코드 호스팅 시스템에 연결 BitBucket, GitHub, GitLab 계정 또는 Azure DevOps 시스템과 같은 소스.

FBI에 따르면, 일부 회사는 이러한 시스템을 보호하지 않은 채로 두었습니다 기본 구성 (포트 9000) 및 기본 관리 자격 증명 (admin / admin)으로 실행됩니다. 해커들은 최소한 2020 년 XNUMX 월부터 잘못 구성된 SonarQube 애플리케이션을 악용 해 왔습니다.

“2020 년 XNUMX 월부터 미확인 Dok는 취약한 SonarQube 인스턴스를 적극적으로 표적으로 삼아 미국 정부 기관 및 민간 기업의 소스 코드 저장소에 대한 액세스 권한을 얻었습니다.

해커는 알려진 구성 취약성을 악용하여 독점 코드에 액세스하고이를 유출하고 데이터를 공개적으로 표시 할 수 있습니다. FBI는 SonarQube 구성의 취약점과 관련된 누출과 관련된 여러 잠재적 컴퓨터 침입을 확인했습니다.”라고 FBI 문서는 읽습니다.

공무원 FBI, 위협 해커들이 잘못된 설정을 남용했다고 SonarQube 인스턴스에 액세스하려면 연결된 소스 코드 리포지토리로 전환 한 다음 독점 또는 개인 / 민감 애플리케이션에 액세스하고 훔칩니다. FBI 관리는 지난 몇 달 동안 발생한 과거 사건의 두 가지 예를 제공하여 경고를 뒷받침했습니다.

“2020 년 XNUMX 월에 그들은 공용 라이프 사이클 저장소 도구를 통해 두 조직의 내부 데이터를 공개했습니다. 도난당한 데이터는 영향을받는 조직의 네트워크에서 실행되는 기본 포트 설정 및 관리 자격 증명을 사용하여 SonarQube 인스턴스에서 가져 왔습니다.

“이 활동은 식별 된 사이버 행위자가 보안이 취약한 SonarQube 인스턴스를 통해 회사의 소스 코드를 유출하고 자체 호스팅 된 공용 저장소에 유출 된 소스 코드를 게시 한 2020 년 XNUMX 월의 이전 데이터 유출과 유사합니다. «, 

잘 알려지지 않은 주제에 대한 FBI 경보 소프트웨어 개발자 및 보안 연구원에 의해.

시 거냐 사이버 보안 업계는 종종 위험에 대해 경고했습니다.MongoDB 또는 Elasticsearch 데이터베이스가 암호없이 온라인에 노출 된 상태에서 SonarQube는 감시를 벗어났습니다.

사실, 연구원들은 종종 MongoDB 또는 Elasticsearch의 인스턴스를 발견했습니다. 온라인 데이터를 노출하는 수천만 개 이상의 보호되지 않은 클라이언트.

예를 들어, 2019 년 XNUMX 월 보안 연구원 인 Justin Paine은 잘못 구성된 온라인 Elasticsearch 데이터베이스를 발견하여 취약점을 발견 한 공격자들에게 상당한 수의 고객 기록을 노출 시켰습니다.

사용자의 개인 정보 세부 정보를 포함하여 108 억 XNUMX 백만 개 이상의 베팅에 대한 정보는 온라인 카지노 그룹의 고객에게 속했습니다.

그러나,일부 보안 연구원은 2018 년 XNUMX 월부터 동일한 위험에 대해 경고했습니다. 기업이 기본 자격 증명으로 온라인에 노출 된 SonarQube 애플리케이션을 떠날 때.

당시 데이터 침해를 찾는 데 주력하는 사이버 보안 컨설턴트 인 Bob Diachenko는 당시 온라인에서 사용 가능한 약 30 개의 SonarQube 인스턴스 중 약 40 ~ 3,000 %가 활성화 된 암호 또는 인증 메커니즘이 없다고 경고했습니다.

출처 : https://blog.sonarsource.com


코멘트를 남겨주세요

귀하의 이메일 주소는 공개되지 않습니다. 필수 필드가 표시되어 있습니다 *

*

*

  1. 데이터 책임자 : Miguel Ángel Gatón
  2. 데이터의 목적 : 스팸 제어, 댓글 관리.
  3. 합법성 : 귀하의 동의
  4. 데이터 전달 : 법적 의무에 의한 경우를 제외하고 데이터는 제 XNUMX 자에게 전달되지 않습니다.
  5. 데이터 저장소 : Occentus Networks (EU)에서 호스팅하는 데이터베이스
  6. 권리 : 귀하는 언제든지 귀하의 정보를 제한, 복구 및 삭제할 수 있습니다.