Biroul Federal de Investigații (FBI) a trimis un avertisment în octombrie anul trecut la serviciile de securitate ale companiilor și organizațiilor guvernamentale.
Documentul s-a scurs săptămâna trecută susține că hackerii necunoscuți au profitat de o vulnerabilitate pe platforma de verificare a codului SonarQube pentru a obține acces la depozitele de cod sursă. Acest lucru duce la scurgeri de cod sursă de la agenții guvernamentale și companii private.
Alerta FBI i-a avertizat pe proprietarii SonarQube, o aplicație web pe care companiile o integrează în lanțurile lor de construire software pentru a testa codul sursă și a descoperi găuri de securitate înainte de a elibera cod și aplicații în mediile de producție.
Hackerii profită de vulnerabilitățile de configurare cunoscute, permițându-le să acceseze codul proprietar, să îl exfiltreze și să publice date. FBI a identificat multiple potențiale intruziuni ale computerului care se corelează cu scurgerile asociate cu vulnerabilitățile de configurare SonarQube.
Aplicațiile SonarQube sunt instalate pe servere web și conectați-vă la sistemele de găzduire a codului sursă, cum ar fi conturile BitBucket, GitHub sau GitLab sau sistemele Azure DevOps.
Potrivit FBI, unele companii au lăsat aceste sisteme neprotejate, rulează cu configurația sa implicită (pe portul 9000) și acreditările de administrare implicite (admin / admin). Hackerii au abuzat de aplicațiile SonarQube mal configurate din cel puțin aprilie 2020.
„Din aprilie 2020, doks-urile neidentificate vizează în mod activ instanțele vulnerabile SonarQube pentru a avea acces la depozitele de cod sursă ale agențiilor guvernamentale din SUA și ale companiilor private.
Hackerii exploatează vulnerabilitățile de configurare cunoscute, permițându-le să acceseze codul proprietar, să îl exfiltreze și să afișeze date public. FBI-ul a identificat multiple potențiale intruziuni ale computerului care se corelează cu scurgerile asociate cu vulnerabilități în configurația SonarQube ”, se arată în documentul FBI.
Oficialii din FBI spune că hackerii de amenințare au abuzat de aceste setări incorecte pentru a accesa instanțele SonarQube, comutați la depozite de cod sursă conectate, apoi accesați și furați aplicații proprietare sau private / sensibile. Oficialii FBI și-au susținut alerta oferind două exemple de incidente din trecut care au avut loc în lunile precedente:
„În august 2020, au dezvăluit date interne pentru două organizații printr-un instrument public de depozitare a ciclului de viață. Datele furate provin de la instanțele SonarQube folosind setările implicite ale portului și acreditările administrative care rulează în rețelele organizațiilor afectate.
„Această activitate este similară cu o încălcare anterioară a datelor din iulie 2020, în care un actor cibernetic identificat a exfiltrat codul sursă al companiei prin instanțe SonarQube slab securizate și a publicat codul sursă exfiltrat într-un depozit public găzduit de sine. . «,
Alerta FBI atinge un subiect puțin cunoscut de către dezvoltatorii de software și cercetătorii de securitate.
Si bien industria securității cibernetice a avertizat adesea asupra pericolelorDacă nu lasă bazele de date MongoDB sau Elasticsearch expuse online fără parolă, SonarQube a scăpat de supraveghere.
De fapt, Cercetătorii au găsit adesea cazuri de MongoDB sau Elasticsearch on-line care expun date peste zeci de milioane de clienți neprotejați.
De exemplu, în ianuarie 2019, Justin Paine, cercetător în securitate, a descoperit o bază de date online Elasticsearch neconfigurată, expunând un număr semnificativ de înregistrări ale clienților la mila atacatorilor care au descoperit vulnerabilitatea.
Informațiile privind peste 108 milioane de pariuri, inclusiv detalii despre informațiile personale ale utilizatorilor, au aparținut clienților unui grup de cazinouri online.
Cu toate acestea, laUnii cercetători în domeniul securității au avertizat din mai 2018 despre aceleași pericole atunci când companiile lasă aplicațiile SonarQube expuse online cu acreditări implicite.
La acea vreme, consultantul în securitate cibernetică care se concentrează pe găsirea unor încălcări de date, Bob Diachenko, a avertizat că aproximativ 30-40% din cele aproximativ 3,000 de instanțe SonarQube disponibile online la acea vreme nu au activat nicio parolă sau mecanism de autentificare.
Fuente: https://blog.sonarsource.com