Byroja Federale e Hetimit (FBI) dërgoi një paralajmërim Tetorin e kaluar te shërbimet e sigurisë së kompanive dhe organizatave qeveritare.
Dokumenti zbuloi javën e kaluar pretendon se hakerat e panjohur kanë përfituar nga një dobësi në platformën e verifikimit të kodit SonarQube për të hyrë në depot e kodit burimor. Kjo çon në rrjedhje të kodit burimor nga agjencitë qeveritare dhe kompanitë private.
Alarmi i FBI paralajmëroi pronarët e SonarQube, një aplikacion në internet që kompanitë integrojnë në zinxhirët e tyre të ndërtimit të softuerit për të provuar kodin burimor dhe për të zbuluar vrimat e sigurisë para se të lëshojnë kodin dhe aplikacionet në mjediset e prodhimit.
Hakerat përfitojnë nga dobësitë e njohura të konfigurimit, duke i lejuar ata të kenë qasje në kodin e pronarit, ta shfryjnë atë dhe të publikojnë të dhëna. FBI ka identifikuar ndërhyrje të shumëfishta të mundshme kompjuterike që ndërlidhen me rrjedhjet që lidhen me dobësitë e konfigurimit të SonarQube.
Aplikimet e SonarQube janë instaluar në serverat e internetit dhe lidheni me sistemet e pritjes së kodeve burim të tillë si llogaritë BitBucket, GitHub ose GitLab, ose sistemet Azure DevOps.
Sipas FBI, disa kompani i kanë lënë këto sisteme të pambrojtura, ekzekutimi me konfigurimin e tij të paracaktuar (në portin 9000) dhe kredencialet e paracaktuara të administratës (administratori / administratori). Hakerat kanë abuzuar me aplikimet e gabuara të SonarQube që të paktën në Prill 2020.
“Që nga Prilli i vitit 2020, haks të paidentifikuar kanë synuar në mënyrë aktive raste të cenueshme SonarQube për të fituar akses në depot e kodit burimor nga agjencitë qeveritare të SH.B.A. dhe kompanitë private.
Hakerat shfrytëzojnë dobësitë e njohura të konfigurimit, duke i lejuar ata të hyjnë në kodin e pronarit, ta eksfiltrojnë atë dhe të shfaqin të dhëna publikisht. FBI ka identifikuar ndërhyrje të shumëfishta të mundshme kompjuterike që ndërlidhen me rrjedhjet që lidhen me dobësitë në konfigurimin SonarQube, ”lexon dokumenti i FBI.
Zyrtarët e FBI thotë se hakerat e kërcënimeve abuzuan me këto cilësime të pasakta për të hyrë në instancat SonarQube, kaloni në depot e kodit burim të lidhur dhe më pas përdorni dhe vidhni aplikacione të pronarit ose private / të ndjeshme. Zyrtarët e FBI mbështetën gatishmërinë e tyre duke siguruar dy shembuj të incidenteve të kaluara që ndodhën muajt e mëparshëm:
“Në gusht të vitit 2020, ata zbuluan të dhëna të brendshme për dy organizata përmes një mjeti publik për ruajtjen e ciklit të jetës. Të dhënat e vjedhura erdhën nga instancat SonarQube duke përdorur cilësimet e parazgjedhura të portit dhe kredencialet administrative që funksionojnë në rrjetet e organizatave të prekura.
"Ky aktivitet është i ngjashëm me një thyerje të mëparshme të të dhënave në korrik 2020, në të cilin një aktor kibernetik i identifikuar ekzfiltroi kodin burimor të kompanisë përmes instancave SonarQube të siguruara dobët dhe publikoi kodin burimor të eksfiltruar në një depo publike të vetë-pritur. . «,
Vigjilenca e FBI prek një temë pak të njohur nga zhvilluesit e softuerit dhe studiuesit e sigurisë.
ndërsa industria e sigurisë kibernetike shpesh ka paralajmëruar rreziqeduke lënë bazat e të dhënave MongoDB ose Elasticsearch të ekspozuara në internet pa një fjalëkalim, SonarQube i ka shpëtuar mbikëqyrjes.
Në fakt, Studiuesit shpesh kanë gjetur raste të MongoDB ose Elasticsearch on-line që ekspozojnë të dhënat mbi dhjetëra miliona klientë të pambrojtur.
Për shembull, në janar 2019, Justin Paine, një studiues i sigurisë, zbuloi një bazë të gabuar konfigurimi të bazës së të dhënave Elasticsearch, duke ekspozuar një numër të konsiderueshëm të shënimeve të klientëve në mëshirën e sulmuesve që zbuluan dobësinë.
Informacioni mbi më shumë se 108 milion bast, përfshirë detajet e informacionit personal të përdoruesve, u përkisnin klientëve të një grupi kazinosh në internet.
Megjithatë, për tëDisa studiues të sigurisë kanë paralajmëruar që nga maji 2018 për të njëjtat rreziqe kur kompanitë lënë aplikacionet e SonarQube të ekspozuara në internet me kredencialet e paracaktuara.
Në atë kohë, këshilltari i sigurisë kibernetike i cili përqendrohet në gjetjen e shkeljeve të të dhënave, Bob Diachenko, paralajmëroi se rreth 30-40% e afërsisht 3,000 instancave SonarQube të disponueshme në internet në atë kohë nuk kishin asnjë fjalëkalim ose mekanizëm vërtetues të aktivizuar.
Fuente: https://blog.sonarsource.com