Federālais izmeklēšanas birojs (FIB) pagājušā gada oktobrī nosūtīja brīdinājumu uzņēmumu un valdības organizāciju drošības dienestiem.
Dokuments noplūdis pagājušajā nedēļā apgalvo, ka nezināmi hakeri izmantoja ievainojamību SonarQube kodu verifikācijas platformā lai piekļūtu pirmkodu krātuvēm. Tas noved pie pirmkodu noplūdes no valsts aģentūrām un privātiem uzņēmumiem.
FIB brīdinājums brīdināja SonarQube īpašniekus, tīmekļa lietojumprogramma, kuru uzņēmumi integrē savās programmatūras veidošanas ķēdēs, lai pārbaudītu pirmkodu un atklātu drošības caurumus pirms koda un lietojumprogrammu izlaišanas ražošanas vidēs.
Hakeri izmanto zināmās konfigurācijas ievainojamības, ļaujot viņiem piekļūt patentētajam kodam, to izfiltrēt un publicēt datus. FIB ir identificējis vairākus potenciālos datoru ielaušanās gadījumus, kas korelē ar noplūdēm, kas saistītas ar SonarQube konfigurācijas ievainojamību.
Lietojumprogrammas par SonarQube ir instalēti tīmekļa serveros un izveidojiet savienojumu ar kodu mitināšanas sistēmām avots, piemēram, BitBucket, GitHub vai GitLab konti vai Azure DevOps sistēmas.
Saskaņā ar FBI, daži uzņēmumi ir atstājuši šīs sistēmas neaizsargātas, darbojas ar noklusējuma konfigurāciju (9000. portā) un noklusējuma administrācijas akreditācijas datiem (admin / admin). Kopš vismaz 2020. gada aprīļa hakeri ir ļaunprātīgi izmantojuši nepareizi konfigurētas SonarQube lietojumprogrammas.
“Kopš 2020. gada aprīļa nenoskaidroti doki ir aktīvi vērsušies pret neaizsargātajām SonarQube instancēm, lai piekļūtu pirmkodu krātuvēm no ASV valdības aģentūrām un privātiem uzņēmumiem.
Hakeri izmanto zināmas konfigurācijas ievainojamības, ļaujot viņiem piekļūt patentētam kodam, to izfiltrēt un publiski parādīt datus. FIB ir identificējis vairākus potenciālos datoru ielaušanās gadījumus, kas korelē ar noplūdēm, kas saistītas ar ievainojamībām SonarQube konfigurācijā, ”teikts FIB dokumentā.
Rumānijas amatpersonas FBI saka, ka draudu hakeri ļaunprātīgi izmantoja šos nepareizos iestatījumus lai piekļūtu SonarQube instancēm, pārslēdzieties uz savienotajiem pirmkodu krātuvēm un pēc tam piekļūstiet un nozagiet patentētas vai privātas / sensitīvas lietojumprogrammas. FIB amatpersonas atbalstīja savu brīdinājumu, sniedzot divus iepriekšējos mēnešos notikušo incidentu piemērus:
“2020. gada augustā viņi atklāja divu organizāciju iekšējos datus, izmantojot publiskā dzīves cikla repozitorija rīku. Nozagtie dati nāca no SonarQube instancēm, izmantojot noklusējuma porta iestatījumus un administratīvos akreditācijas datus, kas darbojas skarto organizāciju tīklos.
“Šī darbība ir līdzīga iepriekšējam datu pārkāpumam 2020. gada jūlijā, kad identificēts kiberaktors izfiltrēja uzņēmuma pirmkodu, izmantojot slikti nodrošinātas SonarQube instances un publicēja izspiesto avota kodu pašnodrošinātajā publiskajā repozitorijā. . «,
FIB brīdinājums skar mazpazīstamu tēmu programmatūras izstrādātāji un drošības pētnieki.
Kamēr kiberdrošības nozare bieži ir brīdinājusi par briesmāms, neatstājot tiešsaistē bez paroles atklātas MongoDB vai Elasticsearch datubāzes, SonarQube ir izvairījies no uzraudzības.
Faktiski Pētnieki bieži ir atraduši MongoDB vai Elasticsearch gadījumus tiešsaistē kas atklāj datus vairāk nekā desmitiem miljonu neaizsargātu klientu.
Piemēram, 2019. gada janvārī drošības pētnieks Džastins Pains atklāja nepareizi konfigurētu tiešsaistes Elasticsearch datu bāzi, pakļaujot ievērojamu skaitu klientu ierakstu uzbrucēju žēlastībai, kuri atklāja ievainojamību.
Informācija par vairāk nekā 108 miljoniem derību, tostarp informācija par lietotāju personisko informāciju, piederēja tiešsaistes kazino grupas klientiem.
Tomēr uzDaži drošības pētnieki kopš 2018. gada maija ir brīdinājuši par tām pašām briesmām kad uzņēmumi atstāj SonarQube lietojumprogrammas tiešsaistē pakļautas ar noklusējuma akreditācijas datiem.
Toreiz kiberdrošības konsultants, kurš koncentrējas uz datu pārkāpumu atrašanu, Bobs Diačenko brīdināja, ka aptuveni 30–40% no aptuveni 3,000 SonarQube instancēm, kas tajā laikā bija pieejamas tiešsaistē, nebija aktivizēta parole vai autentifikācijas mehānisms.
Fuente: https://blog.sonarsource.com