Zvezni preiskovalni urad (FBI) je oktobra lani poslal opozorilo varnostnim službam podjetij in vladnih organizacij.
Dokument je pricurljal prejšnji teden trdi, da so neznani hekerji izkoristili ranljivost na platformi za preverjanje kode SonarQube za dostop do skladišč izvorne kode. To vodi do uhajanja izvorne kode iz vladnih agencij in zasebnih podjetij.
Opozorilo FBI je opozorilo lastnike SonarQube, spletna aplikacija, ki jo podjetja integrirajo v svoje verige gradnje programske opreme za testiranje izvorne kode in odkrivanje varnostnih lukenj, preden izdajo kodo in aplikacije v proizvodnih okoljih.
Hekerji izkoriščajo znane konfiguracijske ranljivosti, jim omogoča dostop do lastniške kode, njeno izločanje in objavo podatkov. FBI je odkril več potencialnih vdorov v računalnike, ki so povezani z uhajanjem, povezanim s konfiguracijskimi ranljivostmi SonarQube.
Aplikacije SonarQube so nameščeni na spletnih strežnikih in se povežite s sistemi za gostovanje kod vir, kot so računi BitBucket, GitHub ali GitLab ali sistemi Azure DevOps.
Po poročanju FBI-ja, nekatera podjetja so pustila te sisteme nezaščitene, teče s privzeto konfiguracijo (na vratih 9000) in privzetimi skrbniškimi poverilnicami (admin / admin). Hekerji zlorabljajo napačno konfigurirane aplikacije SonarQube vsaj od aprila 2020.
»Od aprila 2020 neznani haki aktivno ciljajo na ranljive primerke SonarQube, da bi od vladnih agencij ZDA in zasebnih podjetij dobili dostop do skladišč izvorne kode.
Hekerji izkoriščajo znane ranljivosti konfiguracije in jim omogočajo dostop do lastniške kode, njeno izločanje in javno prikazovanje podatkov. FBI je v konfiguraciji SonarQube odkril več potencialnih vdorov v računalnike, ki so povezani z uhajanjem, povezanim z ranljivostmi, «piše v dokumentu FBI.
Uradniki FBI pravi, da so hekerji z grožnjami zlorabili te napačne nastavitve za dostop do primerkov SonarQube preklopite na povezane repozitorije izvorne kode in nato dostopajte do kraje lastniških ali zasebnih / občutljivih aplikacij in jih kradite. Uradniki FBI so svoje opozorilo podkrepili z navedbo dveh primerov preteklih incidentov, ki so se zgodili v prejšnjih mesecih:
»Avgusta 2020 so z orodjem za javno skladišče življenjskega cikla razkrili notranje podatke za dve organizaciji. Ukradeni podatki so prišli iz primerkov SonarQube z uporabo privzetih nastavitev vrat in skrbniških poverilnic, ki se izvajajo v omrežjih prizadetih organizacij.
»Ta dejavnost je podobna prejšnji kršitvi podatkov julija 2020, v kateri je identificirani kibernetični akter eksfiltriral izvorno kodo podjetja prek slabo zavarovanih primerkov SonarQube in objavil eksfiltrirano izvorno kodo v samostojnem javnem skladišču. . «,
Opozorilo FBI se dotika malo znane teme s strani razvijalcev programske opreme in raziskovalcev varnosti.
Medtem ko industrija kibernetske varnosti je pogosto opozarjala na nevarnostiKer so zbirke podatkov MongoDB ali Elasticsearch odprte v spletu brez gesla, se je SonarQube izognil nadzoru.
V bistvu Raziskovalci so pogosto našli primere MongoDB ali Elasticsearch na spletu ki razkrivajo podatke več deset milijonov nezaščitenih strank.
Na primer, januarja 2019 je Justin Paine, raziskovalec varnosti, odkril napačno konfigurirano spletno bazo podatkov Elasticsearch in razkril veliko število evidenc strank na milost in nemilost napadalcem, ki so odkrili ranljivost.
Informacije o več kot 108 milijonih stav, vključno s podrobnostmi o osebnih podatkih uporabnikov, so pripadale strankam skupine spletnih igralnic.
VendarNekateri raziskovalci varnosti od maja 2018 opozarjajo na enake nevarnosti ko podjetja zapustijo aplikacije SonarQube na spletu s privzetimi poverilnicami.
Takrat je svetovalec za kibernetsko varnost Bob Diachenko opozoril, da približno 30-40% od približno 3,000 primerkov SonarQube, ki so bili takrat na voljo v spletu, ni imelo aktiviranega gesla ali mehanizma za preverjanje pristnosti.
vir: https://blog.sonarsource.com