Peretas nyolong kode sumber ti instansi pamaréntah Amérika Serikat sareng perusahaan swasta

Biro Panilitian Féderal (FBI) ngirim peringatan Oktober kamari kana jasa kaamanan perusahaan sareng organisasi pamaréntah.

Dokumén bocor minggu kamari nyatakeun yén hacker anu henteu dikenal ngamanfaatkeun kerentanan dina platform verifikasi kode SonarQube pikeun aksés Repository kode sumber. Hal ieu nyababkeun kabocoran kode sumber ti instansi pamaréntah sareng perusahaan swasta.

Peringatan FBI ngingetkeun pamilik SonarQube, aplikasi wéb anu perusahaan ngagabungkeun kana ranté ngawangun parangkat lunakna pikeun nguji kode sumber sareng mendakan liang kaamanan sateuacan ngaleupaskeun kode sareng aplikasi dina lingkungan produksi.

Peretas ngamangpaatkeun kerentanan konfigurasi anu dikenal, ngamungkinkeun aranjeunna pikeun ngaksés kode proprietary, ngébréhkeunana, sareng nyebarkeun data. FBI parantos ngaidentifikasi sababaraha gangguan komputer poténsial anu aya hubunganana sareng kabocoran pakait sareng kerentanan konfigurasi SonarQube.

aplikasi SonarQube dipasang dina sérver wéb sareng sambungkeun kana sistem hosting kode sumber sapertos BitBucket, GitHub, atanapi akun GitLab, atanapi sistem Azure DevOps.

Numutkeun ka FBI, sababaraha perusahaan parantos ngantepkeun sistem ieu teu kajaga, ngajalankeun sareng konfigurasi standar na (dina port 9000) sareng kredensial administrasi standar (admin / admin). Peretas parantos nyalahgunakeun aplikasi SonarQube anu salah konfigurasi saprak sahenteuna April 2020.

"Kusabab April 2020, doks anu teu dikenal parantos aktip nargétkeun conto SonarQube anu rentan pikeun kéngingkeun aksés ka Repository kode sumber instansi pamaréntah Amérika Serikat sareng perusahaan swasta.

Peretas mangpaatkeun kerentanan konfigurasi anu dipikaterang, ngamungkinkeun aranjeunna pikeun ngaksés kode propriétis, ngébréhkeunana, sareng ningalikeun data sacara umum. FBI parantos ngaidentifikasi sababaraha gangguan komputer poténsial anu aya hubunganana sareng kabocoran pakait sareng kerentanan dina konfigurasi SonarQube, "tulisan dokumen FBI.

Pajabat ti FBI Nyebatkeun Peretas Ancaman Nyalahgunakeun Setélan Anu Salah Ieu pikeun ngaksés conto SonarQube, ngalih ka Repository kode sumber anu nyambung, teras aksés sareng maok aplikasi proprietari atanapi pribadi / sénsitip. Pejabat FBI nyokong peringatan aranjeunna ku nyayogikeun dua conto kajadian anu katukang anu dilakukeun dina bulan-bulan sateuacanna:

"Dina Agustus 2020, aranjeunna ngungkabkeun data internal pikeun dua organisasi ngalangkungan alat panyimpenan siklus hirup umum. Data anu dipaling asalna ti conto SonarQube ngagunakeun setélan palabuhan standar sareng kredensial administrasi anu dijalankeun dina jaringan organisasi anu kapangaruhan.

"Kegiatan ieu mirip sareng ngalanggar data sateuacanna dina bulan Juli 2020, dimana saurang aktor sélter anu ngaidentipikasi nyatakeun kode sumber perusahaan ngalangkungan conto SonarQube anu henteu diamankeun sareng nyebarkeun kode sumber anu ditémpélkeun ka gudang umum anu di-host nyalira. «, 

Peringatan FBI némpél kana topik anu henteu dikenal ku pamekar parangkat lunak sareng panaliti kaamanan.

waktu industri kaamanan siber parantos sering ngingetkeun bahayas tina nyésakeun basis data MongoDB atanapi Elasticsearch kakeunaan online tanpa kecap akses, SonarQube lolos tina panjagaan.

Nyatana, anu Panaliti sering mendakan conto MongoDB atanapi Elasticsearch dina garis anu ngalaan data langkung ti puluhan jutaan klien anu teu dijagaan.

Salaku conto, dina Januari 2019, Justin Paine, panaliti kaamanan, mendakan database Elasticsearch online anu salah ngonfigurasi, ngalaan sajumlah signifikan catetan palanggan pikeun rahmat panyerang anu mendakan kerentanan.

Inpormasi ngeunaan langkung ti 108 juta taruhan, kalebet detil inpormasi pribadi pangguna, milik konsumén sakelompok kasino online.

Nanging, kaSababaraha panaliti kaamanan parantos ngingetkeun saprak Méi 2018 ngeunaan bahaya anu sami nalika perusahaan ngantepkeun aplikasi SonarQube kakeunaan online kalayan kredensial standar.

Dina waktos éta, konsultan cybersecurity anu fokus kana milarian pelanggaran data, Bob Diachenko, ngingetkeun yén sakitar 30-40% tina sakitar 3,000 kasus SonarQube anu sayogi online nalika éta henteu ngagaduhan sandi atanapi mékanisme auténtikasi anu diaktipkeun.

sumber: https://blog.sonarsource.com


Eusi tulisan taat kana prinsip urang tina étika éditorial. Pikeun ngalaporkeun kasalahan klik di dieu.

Janten kahiji komen

Ninggalkeun koméntar anjeun

email alamat anjeun moal diterbitkeun.

*

*

  1. Jawab data: Miguel Ángel Gatón
  2. Tujuan tina data: Kontrol SPAM, manajemén koméntar.
  3. Legitimasi: idin anjeun
  4. Komunikasi data: Data moal dikomunikasikan ka pihak katilu kacuali ku kawajiban hukum.
  5. Panyimpenan data: Basis data anu diayakeun ku Occentus Networks (EU)
  6. Hak: Iraha waé anjeun tiasa ngawatesan, cageur sareng mupus inpormasi anjeun.