Хакерууд АНУ-ын засгийн газрын агентлагууд болон хувийн компаниудын эх кодыг хулгайлжээ

Холбооны мөрдөх товчоо (FBI) өнгөрсөн аравдугаар сард сэрэмжлүүлэг илгээсэн компаниуд болон төрийн байгууллагуудын аюулгүй байдлын үйлчилгээнд.

Баримт бичиг өнгөрсөн долоо хоногт олон нийтэд цацагдсан үл мэдэгдэх хакерууд эмзэг байдлыг ашигласан гэж мэдэгдэв SonarQube кодыг баталгаажуулах платформ дээр эх кодын сан руу нэвтрэх. Энэ нь засгийн газрын агентлагууд болон хувийн компаниудаас эх код алдагдахад хүргэдэг.

Холбооны мөрдөх товчооны сэрэмжлүүлэг SonarQube эзэмшигчдэд компаниуд програм хангамждаа нэгтгэдэг сүлжээний програмууд, үйлдвэрлэлийн орчинд код, програмуудыг гаргахаасаа өмнө эх кодыг туршиж, аюулгүй байдлын цоорхойг олж илрүүлдэг.

Хакерууд тохиргооны мэдэгдэж буй сул талыг ашиглаж, тэдэнд өмчийн кодонд нэвтрэх, тэдгээрийг шүүх, өгөгдөл нийтлэх боломжийг олгох. Холбооны мөрдөх товчоо нь SonarQube-ийн тохиргооны эмзэг байдалтай холбоотой алдагдсантай холбоотой компьютерийн олон халдлагыг тодорхойлсон.

Програмууд SonarQube нь вэб серверүүд дээр суулгагдсан байдаг код байршуулах системд холбогдох BitBucket, GitHub, эсвэл GitLab дансууд эсвэл Azure DevOps системүүд гэх мэт эх сурвалжууд.

Холбооны мөрдөх товчооны мэдээлснээр, зарим компаниуд эдгээр системийг хамгаалалтгүй үлдээсэн, анхдагч тохиргоо (9000 порт дээр) болон анхдагч удирдлагын итгэмжлэл (admin / admin) -тэй ажиллаж байна. Хакерууд буруу тохируулсан SonarQube програмуудыг дор хаяж 2020 оны XNUMX-р сараас хойш зүй бусаар ашигласан.

“2020 оны XNUMX-р сараас хойш үл мэдэгдэх докууд АНУ-ын засгийн газрын агентлагууд болон хувийн компаниудын эх кодын сан руу нэвтрэх зорилгоор SonarQube-ийн эмзэг тохиолдлуудыг идэвхтэй чиглүүлж байна.

Хакерууд нь мэдэгдэж буй тохиргооны эмзэг байдлыг ашиглаж, өмчийн кодонд нэвтрэх, тэдгээрийг шүүх, өгөгдлийг олон нийтэд харуулах боломжийг олгодог. Холбооны мөрдөх товчоо нь SonarQube тохиргооны сул талуудтай холбоотой алдагдсантай холбоотой компьютерийн олон халдлагыг илрүүлсэн "гэж ТТГ-ын баримт бичигт тэмдэглэв.

Албан тушаалтнууд Холбооны мөрдөх товчоо эдгээр буруу тохиргоог зүй бусаар ашигласан гэж заналхийлдэг хакерууд гэж хэлдэг SonarQube тохиолдлуудад хандах, холбогдох эх кодын сан руу шилжих, дараа нь өмчийн эсвэл хувийн / эмзэг програмуудад нэвтрэх, хулгайлах. Холбооны мөрдөх товчооны ажилтнууд сэрэмжлүүлгээ нөөцөлж, өмнөх саруудад болсон өнгөрсөн тохиолдлуудын хоёр жишээг үзүүлэв.

“Тэд 2020 оны XNUMX-р сард олон нийтийн амьдралын мөчлөгийн хадгалах сангийн хэрэгслээр дамжуулан хоёр байгууллагын дотоод өгөгдлийг илчилсэн. Хулгайлагдсан өгөгдөл нь нөлөөлөлд өртсөн байгууллагуудын сүлжээнд ажиллаж буй порт тохиргоонууд болон захиргааны итгэмжлэлийг ашиглан SonarQube-ээс авсан болно.

“Энэ үйл ажиллагаа нь 2020 оны XNUMX-р сард гарсан өгөгдлийг зөрчсөнтэй ижил төстэй үйл ажиллагаа явуулж байгаа бөгөөд танигдсан кибер жүжигчин компанийн аюулгүй байдлыг хангаагүй SonarQube жишээнүүдээр дамжуулан компанийн эх кодыг нэвтэлж, эксфильтраци хийсэн эх кодыг өөрөө байршуулсан олон нийтийн мэдээллийн санд байршуулсан болно. «, 

Холбооны мөрдөх товчооны сэрэмжлүүлэг нь төдийлөн мэддэггүй сэдвийг хөнддөг програм хангамж хөгжүүлэгчид болон аюулгүй байдлын судлаачид.

Хэдийгээр кибер аюулгүй байдлын салбар аюулын талаар байнга анхааруулж байсанMongoDB эсвэл Elasticsearch мэдээллийн баазуудыг онлайнаар нууц үггүйгээр орхих нь SonarQube-ийг хараа хяналтаас зугтаажээ.

Үнэндээ, Судлаачид MongoDB эсвэл Elasticsearch-ийн жишээг ихэвчлэн олдог онлайн байна мэдээллийг ил болгодог хэдэн арван сая гаруй хамгаалалтгүй үйлчлүүлэгчид.

Жишээлбэл, 2019 оны XNUMX-р сард аюулгүй байдлыг судлаач Жастин Пэйн онлайн тохиргоог хийснийг олж мэдсэн Elasticsearch мэдээллийн сан, хэрэглэгчийн бүртгэлийн нэлээд хэсгийг энэ сул талыг олж илрүүлсэн халдагчдын өршөөлд өртсөн.

Хэрэглэгчийн хувийн мэдээллийг багтаасан 108 сая гаруй бооцооны талаарх мэдээлэл нь бүлэг онлайн казиногийн үйлчлүүлэгчдийнх байв.

Гэсэн хэдий чАюулгүй байдлын зарим судлаачид 2018 оны XNUMX-р сараас хойш ижил аюулаас сэрэмжлүүлж байна компаниуд SonarQube програмыг анхдагч үнэмлэхтэйгээр онлайнаар ил гаргахад.

Тухайн үед мэдээллийн зөрчлийг олоход анхаарлаа төвлөрүүлдэг кибер аюулгүй байдлын зөвлөх Боб Диаченко тухайн үед онлайнаар ашиглаж байсан 30 орчим SonarQube тохиолдлын 40-3,000 орчим хувь нь ямар ч нууц үг, баталгаажуулах механизм идэвхжүүлээгүй болохыг анхааруулж байсан.

Эх сурвалж: https://blog.sonarsource.com


Нийтлэлийн агуулга нь бидний зарчмуудыг баримталдаг редакцийн ёс зүй. Алдааны талаар мэдээлэхийн тулд товшино уу энд байна.

Сэтгэгдэл бичих эхний хүн бай

Сэтгэгдэлээ үлдээгээрэй

Таны и-мэйл хаяг хэвлэгдсэн байх болно. Шаардлагатай талбарууд нь тэмдэглэгдсэн байна *

*

*

  1. Мэдээллийг хариуцах: Мигель Анхель Гатан
  2. Мэдээллийн зорилго: СПАМ-ыг хянах, сэтгэгдлийн менежмент.
  3. Хууль ёсны байдал: Таны зөвшөөрөл
  4. Мэдээллийн харилцаа холбоо: Хуулийн үүргээс бусад тохиолдолд мэдээллийг гуравдагч этгээдэд дамжуулахгүй.
  5. Өгөгдөл хадгалах: Occentus Networks (ЕХ) -с зохион байгуулсан мэдээллийн сан
  6. Эрх: Та хүссэн үедээ мэдээллээ хязгаарлаж, сэргээж, устгаж болно.