Federalne Biuro Śledcze (FBI) wysłało ostrzeżenie w październiku ubiegłego roku do służb bezpieczeństwa firm i organizacji rządowych.
Dokument wyciekł w zeszłym tygodniu twierdzi, że nieznani hakerzy wykorzystali lukę na platformie weryfikacji kodu SonarQube aby uzyskać dostęp do repozytoriów kodu źródłowego. Prowadzi to do wycieków kodu źródłowego z agencji rządowych i firm prywatnych.
Ostrzeżenie FBI ostrzegło właścicieli SonarQube, aplikacja internetowa, którą firmy integrują ze swoimi łańcuchami tworzenia oprogramowania w celu testowania kodu źródłowego i wykrywania luk w zabezpieczeniach przed wydaniem kodu i aplikacji w środowiskach produkcyjnych.
Hakerzy wykorzystują znane luki w konfiguracji, umożliwiając im dostęp do zastrzeżonego kodu, eksfiltrację go i publikowanie danych. FBI zidentyfikowało wiele potencjalnych włamań do komputera, które są powiązane z wyciekami związanymi z lukami w konfiguracji SonarQube.
Zastosowania SonarQube są instalowane na serwerach internetowych i połącz się z systemami hostingu kodu źródło, takie jak konta BitBucket, GitHub lub GitLab lub systemy Azure DevOps.
Według FBIniektóre firmy pozostawiły te systemy bez ochrony, działa z domyślną konfiguracją (na porcie 9000) i domyślnymi poświadczeniami administracyjnymi (admin / admin). Hakerzy nadużywali błędnie skonfigurowanych aplikacji SonarQube co najmniej od kwietnia 2020 r.
„Od kwietnia 2020 roku niezidentyfikowane doki aktywnie atakują podatne na ataki instancje SonarQube, aby uzyskać dostęp do repozytoriów kodu źródłowego od amerykańskich agencji rządowych i firm prywatnych.
Hakerzy wykorzystują znane luki w konfiguracji, umożliwiając im dostęp do zastrzeżonego kodu, eksfiltrację go i publiczne wyświetlanie danych. FBI zidentyfikowało wiele potencjalnych włamań do komputera, które korelują z wyciekami związanymi z lukami w konfiguracji SonarQube ”, czytamy w dokumencie FBI.
Urzędnicy FBI twierdzi, że hakerzy wykorzystali te nieprawidłowe ustawienia aby uzyskać dostęp do instancji SonarQube, przełącz się do podłączonych repozytoriów kodu źródłowego, a następnie uzyskaj dostęp do zastrzeżonych lub prywatnych / wrażliwych aplikacji i wykradnij je. Urzędnicy FBI potwierdzili swój alert, podając dwa przykłady incydentów z przeszłości, które miały miejsce w poprzednich miesiącach:
„W sierpniu 2020 r. Ujawnili wewnętrzne dane dwóch organizacji za pośrednictwem publicznego repozytorium cyklu życia. Skradzione dane pochodziły z instancji SonarQube przy użyciu domyślnych ustawień portu i poświadczeń administracyjnych działających w sieciach organizacji, których dotyczy problem.
„Ta aktywność jest podobna do poprzedniego naruszenia bezpieczeństwa danych w lipcu 2020 r., W którym zidentyfikowany cyberprzestępca wyprowadził kod źródłowy firmy przez słabo zabezpieczone instancje SonarQube i opublikował eksfiltrowany kod źródłowy do samoobsługowego repozytorium publicznego. «,
Alert FBI porusza mało znany temat przez twórców oprogramowania i badaczy bezpieczeństwa.
Podczas branża cyberbezpieczeństwa często ostrzegała przed niebezpieczeństwamiz pozostawienia baz danych MongoDB lub Elasticsearch udostępnionych online bez hasła, SonarQube uniknął inwigilacji.
W rzeczywistości Badacze często znajdowali instancje MongoDB lub Elasticsearch online które ujawniają dane ponad dziesiątki milionów niezabezpieczonych klientów.
Na przykład w styczniu 2019 r. Justin Paine, badacz bezpieczeństwa, odkrył źle skonfigurowaną internetową bazę danych Elasticsearch, narażając znaczną liczbę rekordów klientów na łaskę atakujących, którzy odkryli lukę.
Informacje o ponad 108 milionach zakładów, w tym szczegóły danych osobowych użytkowników, należały do klientów grupy kasyn online.
JednakNiektórzy badacze bezpieczeństwa ostrzegali od maja 2018 r. Przed tymi samymi zagrożeniami kiedy firmy pozostawiają aplikacje SonarQube ujawnione online z domyślnymi danymi uwierzytelniającymi.
W tym czasie konsultant ds.cyberbezpieczeństwa, który koncentruje się na wykrywaniu naruszeń danych, Bob Diachenko, ostrzegł, że około 30-40% z około 3,000 instancji SonarQube dostępnych w tamtym czasie w Internecie nie miało włączonego hasła ani mechanizmu uwierzytelniania.
źródło: https://blog.sonarsource.com