연방 수사 국 (FBI) 지난 XNUMX 월 경고를 보냈습니다 기업 및 정부 기관의 보안 서비스에.
지난주에 유출 된 문서 알려지지 않은 해커가 취약점을 이용했다고 주장 SonarQube 코드 검증 플랫폼에서 소스 코드 저장소에 액세스하려면. 이로 인해 정부 기관 및 민간 기업에서 소스 코드가 유출됩니다.
FBI 경보는 SonarQube 소유자에게 경고했습니다. 회사가 소프트웨어 빌드 체인에 통합하여 프로덕션 환경에서 코드와 애플리케이션을 출시하기 전에 소스 코드를 테스트하고 보안 허점을 발견하는 웹 애플리케이션입니다.
해커는 알려진 구성 취약점을 이용합니다. 독점 코드에 액세스하고이를 유출하고 데이터를 게시 할 수 있습니다. FBI는 SonarQube 구성 취약점과 관련된 누출과 관련된 여러 잠재적 컴퓨터 침입을 식별했습니다.
의 응용 SonarQube는 웹 서버에 설치됩니다. 코드 호스팅 시스템에 연결 BitBucket, GitHub, GitLab 계정 또는 Azure DevOps 시스템과 같은 소스.
FBI에 따르면, 일부 회사는 이러한 시스템을 보호하지 않은 채로 두었습니다 기본 구성 (포트 9000) 및 기본 관리 자격 증명 (admin / admin)으로 실행됩니다. 해커들은 최소한 2020 년 XNUMX 월부터 잘못 구성된 SonarQube 애플리케이션을 악용 해 왔습니다.
“2020 년 XNUMX 월부터 미확인 Dok는 취약한 SonarQube 인스턴스를 적극적으로 표적으로 삼아 미국 정부 기관 및 민간 기업의 소스 코드 저장소에 대한 액세스 권한을 얻었습니다.
해커는 알려진 구성 취약성을 악용하여 독점 코드에 액세스하고이를 유출하고 데이터를 공개적으로 표시 할 수 있습니다. FBI는 SonarQube 구성의 취약점과 관련된 누출과 관련된 여러 잠재적 컴퓨터 침입을 확인했습니다.”라고 FBI 문서는 읽습니다.
공무원 FBI, 위협 해커들이 잘못된 설정을 남용했다고 SonarQube 인스턴스에 액세스하려면 연결된 소스 코드 리포지토리로 전환 한 다음 독점 또는 개인 / 민감 애플리케이션에 액세스하고 훔칩니다. FBI 관리는 지난 몇 달 동안 발생한 과거 사건의 두 가지 예를 제공하여 경고를 뒷받침했습니다.
“2020 년 XNUMX 월에 그들은 공용 라이프 사이클 저장소 도구를 통해 두 조직의 내부 데이터를 공개했습니다. 도난당한 데이터는 영향을받는 조직의 네트워크에서 실행되는 기본 포트 설정 및 관리 자격 증명을 사용하여 SonarQube 인스턴스에서 가져 왔습니다.
“이 활동은 식별 된 사이버 행위자가 보안이 취약한 SonarQube 인스턴스를 통해 회사의 소스 코드를 유출하고 자체 호스팅 된 공용 저장소에 유출 된 소스 코드를 게시 한 2020 년 XNUMX 월의 이전 데이터 유출과 유사합니다. «,
잘 알려지지 않은 주제에 대한 FBI 경보 소프트웨어 개발자 및 보안 연구원에 의해.
시 거냐 사이버 보안 업계는 종종 위험에 대해 경고했습니다.MongoDB 또는 Elasticsearch 데이터베이스가 암호없이 온라인에 노출 된 상태에서 SonarQube는 감시를 벗어났습니다.
사실, 연구원들은 종종 MongoDB 또는 Elasticsearch의 인스턴스를 발견했습니다. 온라인 데이터를 노출하는 수천만 개 이상의 보호되지 않은 클라이언트.
예를 들어, 2019 년 XNUMX 월 보안 연구원 인 Justin Paine은 잘못 구성된 온라인 Elasticsearch 데이터베이스를 발견하여 취약점을 발견 한 공격자들에게 상당한 수의 고객 기록을 노출 시켰습니다.
사용자의 개인 정보 세부 정보를 포함하여 108 억 XNUMX 백만 개 이상의 베팅에 대한 정보는 온라인 카지노 그룹의 고객에게 속했습니다.
그러나,일부 보안 연구원은 2018 년 XNUMX 월부터 동일한 위험에 대해 경고했습니다. 기업이 기본 자격 증명으로 온라인에 노출 된 SonarQube 애플리케이션을 떠날 때.
당시 데이터 침해를 찾는 데 주력하는 사이버 보안 컨설턴트 인 Bob Diachenko는 당시 온라인에서 사용 가능한 약 30 개의 SonarQube 인스턴스 중 약 40 ~ 3,000 %가 활성화 된 암호 또는 인증 메커니즘이 없다고 경고했습니다.
출처 : https://blog.sonarsource.com