Федеральное бюро расследований (ФБР) отправило предупреждение в октябре прошлого года. службам безопасности компаний и государственных организаций.
Документ просочился на прошлой неделе утверждает, что неизвестные хакеры воспользовались уязвимостью на платформе проверки кода SonarQube для доступа к репозиториям исходного кода. Это приводит к утечке исходного кода из государственных учреждений и частных компаний.
Предупреждение ФБР предупредило владельцев SonarQube: веб-приложение, которое компании интегрируют в свои цепочки сборки программного обеспечения для тестирования исходного кода и обнаружения дыр в безопасности перед выпуском кода и приложений в производственные среды.
Хакеры используют известные уязвимости конфигурации, позволяя им получать доступ к частному коду, извлекать его и публиковать данные. ФБР выявило несколько потенциальных компьютерных вторжений, которые коррелируют с утечками, связанными с уязвимостями конфигурации SonarQube.
Приложения SonarQube установлены на веб-серверах и подключиться к системам хостинга кода источник, такой как учетные записи BitBucket, GitHub или GitLab, или системы Azure DevOps.
По данным ФБР, некоторые компании оставили эти системы незащищенными, работает с настройками по умолчанию (на порту 9000) и учетными данными администратора по умолчанию (admin / admin). Хакеры злоупотребляли неправильно настроенными приложениями SonarQube как минимум с апреля 2020 года.
«С апреля 2020 года неизвестные хакеры активно атакуют уязвимые экземпляры SonarQube, чтобы получить доступ к репозиториям исходного кода от правительственных агентств США и частных компаний.
Хакеры используют известные уязвимости конфигурации, позволяя им получить доступ к проприетарному коду, извлечь его и публично отобразить данные. ФБР выявило несколько потенциальных компьютерных вторжений, которые коррелируют с утечками, связанными с уязвимостями в конфигурации SonarQube », - говорится в документе ФБР.
Должностные лица ФБР заявляет, что злоумышленники злоупотребляли этими неправильными настройками для доступа к экземплярам SonarQube, переключитесь на подключенные репозитории исходного кода, а затем получите доступ и украдите проприетарные или частные / конфиденциальные приложения. Представители ФБР подкрепили свое предупреждение двумя примерами прошлых инцидентов, имевших место в предыдущие месяцы:
«В августе 2020 года они раскрыли внутренние данные двух организаций с помощью общедоступного репозитория жизненного цикла. Похищенные данные поступили из экземпляров SonarQube с использованием настроек порта по умолчанию и учетных данных администратора, работающих в сетях затронутых организаций.
«Эта деятельность аналогична предыдущей утечке данных в июле 2020 года, когда идентифицированный кибер-субъект извлек исходный код компании через плохо защищенные экземпляры SonarQube и опубликовал извлеченный исходный код в собственном публичном репозитории. «,
Оповещение ФБР затрагивает малоизвестную тему разработчиками программного обеспечения и исследователями безопасности.
В то время как индустрия кибербезопасности часто предупреждает об опасностяхs не оставляя базы данных MongoDB или Elasticsearch открытыми в сети без пароля, SonarQube избежал наблюдения.
В самом деле, Исследователи часто находили экземпляры MongoDB или Elasticsearch. он-лайн которые раскрывают данные более десятков миллионов незащищенных клиентов.
Например, в январе 2019 года Джастин Пейн, исследователь безопасности, обнаружил неправильно настроенную онлайн-базу данных Elasticsearch, в результате чего значительное количество клиентских записей было отдано на милость злоумышленникам, обнаружившим уязвимость.
Информация о более чем 108 миллионах ставок, включая детали личной информации пользователей, принадлежала клиентам группы онлайн-казино.
Тем не менее,Некоторые исследователи безопасности предупреждали с мая 2018 года об одних и тех же опасностях. когда компании оставляют приложения SonarQube доступными в сети с учетными данными по умолчанию.
В то время консультант по кибербезопасности, который занимается поиском утечек данных, Боб Дьяченко предупредил, что около 30-40% из примерно 3,000 экземпляров SonarQube, доступных в то время в сети, не имели активированного пароля или механизма аутентификации.
источник: https://blog.sonarsource.com