Federal Bureau of Investigation (FBI) skickade en varning i oktober förra året till företagens och statliga organisationers säkerhetstjänster.
Dokumentet läckte förra veckan hävdar okända hackare utnyttjade en sårbarhet på SonarQube-kodverifieringsplattformen för att få tillgång till källkodsförvar. Detta leder till källkodläckor från myndigheter och privata företag.
FBI-varningen varnade SonarQube-ägare, en webbapplikation som företag integrerar i sina programvarukedjor för att testa källkod och upptäcka säkerhetshål innan de släpper kod och applikationer i produktionsmiljöer.
Hackare utnyttjar kända konfigurationssårbarheter, låta dem få tillgång till egen kod, exfiltrera den och publicera data. FBI har identifierat flera potentiella datorintrång som korrelerar med läckor i samband med SonarQube-konfigurationssårbarheter.
Applikationerna från SonarQube installeras på webbservrar och anslut till kodsystem källa som BitBucket-, GitHub- eller GitLab-konton eller Azure DevOps-system.
Enligt FBI, har vissa företag lämnat dessa system oskyddade, körs med sin standardkonfiguration (på port 9000) och standardadministrationsuppgifter (admin / admin). Hackare har missbrukat felkonfigurerade SonarQube-applikationer sedan minst april 2020.
”Sedan april 2020 har oidentifierade doktorer aktivt inriktat sig på utsatta SonarQube-instanser för att få tillgång till källkodsförvar från amerikanska myndigheter och privata företag.
Hackare utnyttjar kända konfigurationssårbarheter, vilket gör det möjligt för dem att komma åt egen kod, exfiltrera den och visa data offentligt. FBI har identifierat flera potentiella datorintrång som korrelerar med läckor i samband med sårbarheter i SonarQube-konfigurationen, ”läser FBI-dokumentet.
Tjänstemännen i FBI säger att hothackare missbrukade dessa felaktiga inställningar för att komma åt SonarQube-instanser, växla till anslutna källkodsförvar och sedan komma åt och stjäla egna eller privata / känsliga applikationer. FBI-tjänstemän säkerhetskopierade sin varning genom att ge två exempel på tidigare incidenter som ägde rum under tidigare månader:
”I augusti 2020 avslöjade de interna data för två organisationer genom ett offentligt verktyg för livscykelförvar. De stulna uppgifterna kom från SonarQube-instanser med standardportinställningar och administrativa referenser som körs på de drabbade organisationernas nätverk.
”Denna aktivitet liknar ett tidigare dataintrång i juli 2020, där en identifierad cyberaktör exfiltrerade företagets källkod genom dåligt säkrade SonarQube-instanser och publicerade den exfiltrerade källkoden till ett självhushållande offentligt arkiv. «,
FBI-varning berör lite känt ämne av programutvecklare och säkerhetsforskare.
Så cybersäkerhetsindustrin har ofta varnat för farors från att lämna databaserna MongoDB eller Elasticsearch exponerade online utan lösenord har SonarQube undkommit övervakning.
Faktum är att Forskare har ofta hittat exempel på MongoDB eller Elasticsearch on-line som exponerar data över tiotals miljoner oskyddade kunder.
I januari 2019 upptäckte till exempel Justin Paine, en säkerhetsforskare, en felkonfigurerad online-Elasticsearch-databas och exponerade ett betydande antal kundposter för angripare som upptäckte sårbarheten.
Information om mer än 108 miljoner vad, inklusive information om användarnas personliga information, tillhörde kunder från en grupp onlinekasinon.
Men aVissa säkerhetsforskare har varnat för samma faror sedan maj 2018 när företag lämnar SonarQube-applikationer exponerade online med standarduppgifter.
Vid den tidpunkten varnade cybersäkerhetskonsulten som fokuserar på att hitta dataintrång, Bob Diachenko, att cirka 30-40% av de cirka 3,000 XNUMX SonarQube-instanser som var tillgängliga online då hade inget lösenord eller autentiseringsmekanism aktiverat.
Fuente: https://blog.sonarsource.com