Federal Bureau of Investigation (FBI) sendte en advarsel i oktober i fjor til sikkerhetstjenestene til selskaper og offentlige organisasjoner.
Dokumentet lekket forrige uke hevder ukjente hackere utnyttet en sårbarhet på SonarQube-kodebekreftelsesplattformen for å få tilgang til kildekoder. Dette fører til kildekodelekkasjer fra offentlige etater og private selskaper.
FBI-varselet advarte SonarQube-eiere, en webapplikasjon som selskaper integrerer i programvarekjedene sine for å teste kildekoden og oppdage sikkerhetshull før de slipper kode og applikasjoner i produksjonsmiljøer.
Hackere benytter seg av kjente konfigurasjonsproblemer, slik at de får tilgang til proprietær kode, exfiltrerer den og publiserer data. FBI har identifisert flere potensielle datamaskininnbrudd som korrelerer med lekkasjer knyttet til SonarQube-konfigurasjonssårbarheter.
Applikasjonen til SonarQube er installert på webservere og koble til kodehostingsystemer kilde som BitBucket-, GitHub- eller GitLab-kontoer eller Azure DevOps-systemer.
I følge FBI, noen selskaper har forlatt disse systemene ubeskyttet, kjører med standardkonfigurasjon (på port 9000) og standard administrasjonslegitimasjon (admin / admin). Hackere har misbrukt feilkonfigurerte SonarQube-applikasjoner siden minst april 2020.
“Siden april 2020 har uidentifiserte doktorer aktivt målrettet mot sårbare SonarQube-forekomster for å få tilgang til kildekodelager fra amerikanske myndigheter og private selskaper.
Hackere utnytter kjente sårbarheter i konfigurasjonen, slik at de får tilgang til proprietær kode, exfiltrerer den og viser data offentlig. FBI har identifisert flere potensielle datamaskininnbrudd som korrelerer med lekkasjer knyttet til sårbarheter i SonarQube-konfigurasjonen, ”heter det i FBI-dokumentet.
Tjenestemennene i FBI sier at trusselhackere misbrukte disse uriktige innstillingene for å få tilgang til SonarQube-forekomster, bytt til tilkoblede kildekodelager, og deretter få tilgang til og stjele proprietære eller private / sensitive applikasjoner. FBI-tjenestemenn sikkerhetskopierte varslingen sin ved å gi to eksempler på tidligere hendelser som fant sted de foregående månedene:
”I august 2020 avslørte de interne data for to organisasjoner gjennom et offentlig livssyklusregisterverktøy. De stjålne dataene kom fra SonarQube-forekomster ved hjelp av standard portinnstillinger og administrative legitimasjonsbeskrivelser som kjører på de berørte organisasjonenes nettverk.
“Denne aktiviteten ligner på et tidligere datainnbrudd i juli 2020, der en identifisert cyberaktør exfiltrerte selskapets kildekode gjennom dårlig sikrede SonarQube-forekomster og postet den exfiltrerte kildekoden til et offentlig vertshus som var vertskap. «,
FBI-varsel berører lite kjent tema av programvareutviklere og sikkerhetsforskere.
Si bien cybersikkerhetsindustrien har ofte advart om farers fra å forlate MongoDB- eller Elasticsearch-databaser eksponert online uten passord, har SonarQube unntatt overvåking.
Faktisk Forskere har ofte funnet forekomster av MongoDB eller Elasticsearch no línea som avslører data over titalls millioner ubeskyttede kunder.
For eksempel, i januar 2019, oppdaget Justin Paine, en sikkerhetsforsker, en feilkonfigurert elektronisk Elasticsearch-database, og avslørte et betydelig antall kundeposter til angriperne som oppdaget sårbarheten.
Informasjon om mer enn 108 millioner spill, inkludert detaljer om brukernes personlige informasjon, tilhørte kunder i en gruppe online kasinoer.
Imidlertid aNoen sikkerhetsforskere har advart siden mai 2018 om de samme farene når bedrifter lar SonarQube-applikasjoner bli eksponert online med standard legitimasjon.
På den tiden advarte cybersikkerhetskonsulenten som fokuserer på å finne datainnbrudd, Bob Diachenko, at rundt 30-40% av de rundt 3,000 SonarQube-forekomster som var tilgjengelige online den gangen, ikke hadde noe passord eller autentiseringsmekanisme aktivert.
Fuente: https://blog.sonarsource.com