Federalinis tyrimų biuras (FTB) pernai spalį išsiuntė įspėjimą įmonių ir vyriausybinių organizacijų saugumo tarnyboms.
Dokumentas nutekėjo praėjusią savaitę teigia, kad nežinomi įsilaužėliai pasinaudojo pažeidžiamumu „SonarQube“ kodo patvirtinimo platformoje gauti prieigą prie šaltinio kodų saugyklų. Tai lemia šaltinių kodų nutekėjimą iš vyriausybinių agentūrų ir privačių bendrovių.
FTB perspėjimas įspėjo „SonarQube“ savininkus, žiniatinklio programa, kurią įmonės integruoja į savo programinės įrangos kūrimo grandines, kad išbandytų šaltinio kodą ir atrastų saugumo spragas prieš išleidžiant kodą ir programas gamybos aplinkose.
Įsilaužėliai naudojasi žinomomis konfigūracijos spragomis, leidžiant jiems pasiekti patentuotą kodą, jį išfiltruoti ir skelbti duomenis. FTB nustatė kelis galimus įsibrovimus į kompiuterius, kurie koreliuoja su nutekėjimais, susijusiais su „SonarQube“ konfigūracijos pažeidžiamumais.
Programos „SonarQube“ yra įdiegti žiniatinklio serveriuose ir prisijungti prie kodo prieglobos sistemų šaltinis, pvz., „BitBucket“, „GitHub“ ar „GitLab“ paskyros arba „Azure DevOps“ sistemos.
Pasak FTB, kai kurios įmonės paliko šias sistemas neapsaugotas, veikia pagal numatytąją konfigūraciją (9000 prievade) ir numatytuosius administravimo kredencialus (admin / admin). Nuo mažiausiai 2020 m. Balandžio mėn. Įsilaužėliai piktnaudžiavo neteisingai sukonfigūruotomis „SonarQube“ programomis.
„Nuo 2020 m. Balandžio mėn. Nenustatyti dokai aktyviai nukreipia pažeidžiamus„ SonarQube “atvejus, kad gautų prieigą prie JAV vyriausybinių agentūrų ir privačių kompanijų šaltinio kodų saugyklų.
Įsilaužėliai naudojasi žinomomis konfigūracijos spragomis, leidžiančiomis jiems pasiekti nuosavą kodą, jį išfiltruoti ir viešai rodyti duomenis. FTB nustatė kelis galimus įsibrovimus į kompiuterį, kurie koreliuoja su nutekėjimais, susijusiais su „SonarQube“ konfigūracijos pažeidžiamumais “, - rašoma FTB dokumente.
Pareigūnai FTB teigia, kad įsilaužėliai grėsmėmis piktnaudžiavo šiais neteisingais nustatymais norėdami pasiekti „SonarQube“ egzempliorius, pereiti prie prijungtų šaltinio kodų saugyklų, tada pasiekti ir pavogti nuosavybės teises turinčias arba privačias / neskelbtinas programas. FTB pareigūnai palaikė savo perspėjimą pateikdami du praėjusiais mėnesiais įvykusių įvykių pavyzdžius:
„2020 m. Rugpjūčio mėn. Jie atskleidė dviejų organizacijų vidinius duomenis naudodamiesi viešojo gyvavimo ciklo saugyklos įrankiu. Pavogti duomenys buvo gauti iš „SonarQube“ egzempliorių, naudojant numatytuosius prievado nustatymus ir administracinius kredencialus, veikiančius paveiktų organizacijų tinkluose.
„Ši veikla yra panaši į ankstesnį duomenų pažeidimą, įvykusį 2020 m. Liepos mėn., Kai nustatytas kibernetinis veikėjas, naudodamasis prastai apsaugotomis„ SonarQube “egzemplioriais, išfiltravo įmonės šaltinio kodą ir paskelbė išfiltruotą šaltinio kodą savarankiškai priimtoje viešojoje saugykloje. «,
FTB perspėjimas paliečia mažai žinomą temą programinės įrangos kūrėjai ir saugumo tyrėjai.
Nors kibernetinio saugumo pramonė dažnai įspėjo apie pavojus„SonarQube“ išvengė stebėjimo, palikdamas internete be slaptažodžio „MongoDB“ ar „Elasticsearch“ duomenų bazes.
Iš tiesų, Tyrėjai dažnai rado „MongoDB“ ar „Elasticsearch“ atvejų internete kurie atskleidžia duomenis daugiau nei dešimtys milijonų neapsaugotų klientų.
Pavyzdžiui, 2019 m. Sausio mėn. Saugumo tyrėjas Justinas Paine'as atrado neteisingai sukonfigūruotą internetinę „Elasticsearch“ duomenų bazę, kuri atskleidė pažeidžiamumą užpuolikų malonę daugeliui klientų įrašų.
Informacija apie daugiau nei 108 milijonus statymų, įskaitant išsamią vartotojo asmeninės informacijos informaciją, priklausė internetinių kazino grupės klientams.
Tačiau įKai kurie saugumo tyrėjai nuo 2018 metų gegužės perspėjo apie tuos pačius pavojus kai įmonės palieka „SonarQube“ programas internete veikiančias su numatytaisiais prisijungimo duomenimis.
Tuo metu kibernetinio saugumo konsultantas, daugiausia dėmesio skiriantis duomenų pažeidimų paieškai, Bobas Diachenko įspėjo, kad maždaug 30–40% maždaug tuo metu internete esančių maždaug 3,000 „SonarQube“ egzempliorių nebuvo įjungtas slaptažodis ar autentifikavimo mechanizmas.
Fuente: https://blog.sonarsource.com