แฮกเกอร์ขโมยซอร์สโค้ดจากหน่วยงานรัฐบาลสหรัฐและ บริษัท เอกชน

สำนักงานสอบสวนกลาง (FBI) ส่งคำเตือนเมื่อเดือนตุลาคมที่ผ่านมา ไปจนถึงบริการรักษาความปลอดภัยของ บริษัท และองค์กรของรัฐ

เอกสารรั่วไหลเมื่อสัปดาห์ที่แล้ว อ้างว่าแฮกเกอร์ที่ไม่รู้จักใช้ประโยชน์จากช่องโหว่ บนแพลตฟอร์มการตรวจสอบรหัส SonarQube เพื่อเข้าถึงที่เก็บซอร์สโค้ด. สิ่งนี้นำไปสู่การรั่วไหลของซอร์สโค้ดจากหน่วยงานภาครัฐและ บริษัท เอกชน

การแจ้งเตือนของ FBI เตือนเจ้าของ SonarQube เว็บแอปพลิเคชันที่ บริษัท ต่างๆรวมเข้ากับเครือข่ายการสร้างซอฟต์แวร์เพื่อทดสอบซอร์สโค้ดและค้นหาช่องโหว่ด้านความปลอดภัยก่อนที่จะปล่อยโค้ดและแอปพลิเคชันในสภาพแวดล้อมการผลิต

แฮกเกอร์ใช้ประโยชน์จากช่องโหว่การกำหนดค่าที่ทราบ อนุญาตให้เข้าถึงรหัสที่เป็นกรรมสิทธิ์ขุดลอกและเผยแพร่ข้อมูล เอฟบีไอได้ระบุการบุกรุกคอมพิวเตอร์ที่อาจเกิดขึ้นหลายครั้งซึ่งสัมพันธ์กับการรั่วไหลที่เกี่ยวข้องกับช่องโหว่การกำหนดค่า SonarQube

การใช้งานของ SonarQube ถูกติดตั้งบนเว็บเซิร์ฟเวอร์ และเชื่อมต่อกับระบบโฮสติ้งโค้ด แหล่งที่มาเช่นบัญชี BitBucket, GitHub หรือ GitLab หรือระบบ Azure DevOps

อ้างอิงจาก FBIบาง บริษัท ได้ปล่อยให้ระบบเหล่านี้ไม่มีการป้องกัน ทำงานด้วยการกำหนดค่าเริ่มต้น (บนพอร์ต 9000) และข้อมูลรับรองการดูแลระบบเริ่มต้น (admin / admin) แฮกเกอร์ได้ใช้แอปพลิเคชัน SonarQube ที่กำหนดค่าไม่ถูกต้องตั้งแต่อย่างน้อยเมษายน 2020

ตั้งแต่เดือนเมษายน 2020 haks ที่ไม่ปรากฏชื่อได้กำหนดเป้าหมายไปยังอินสแตนซ์ SonarQube ที่มีช่องโหว่เพื่อเข้าถึงที่เก็บซอร์สโค้ดจากหน่วยงานรัฐบาลและ บริษัท เอกชนของสหรัฐอเมริกา

แฮกเกอร์ใช้ประโยชน์จากช่องโหว่ของการกำหนดค่าที่รู้จักทำให้สามารถเข้าถึงรหัสที่เป็นกรรมสิทธิ์ขุดเจาะและแสดงข้อมูลต่อสาธารณะได้ เอฟบีไอระบุว่าอาจมีการบุกรุกคอมพิวเตอร์หลายครั้งซึ่งสัมพันธ์กับการรั่วไหลที่เกี่ยวข้องกับช่องโหว่ในการกำหนดค่า SonarQube” เอกสารของ FBI อ่าน

เจ้าหน้าที่ของ FBI กล่าวว่าแฮกเกอร์คุกคามละเมิดการตั้งค่าที่ไม่ถูกต้องเหล่านี้ เพื่อเข้าถึงอินสแตนซ์ SonarQube สลับไปยังที่เก็บซอร์สโค้ดที่เชื่อมต่อจากนั้นเข้าถึงและขโมยแอปพลิเคชันที่เป็นกรรมสิทธิ์หรือส่วนตัว / ที่ละเอียดอ่อน เจ้าหน้าที่เอฟบีไอสำรองข้อมูลการแจ้งเตือนโดยยกตัวอย่างเหตุการณ์ในอดีตที่เกิดขึ้นในช่วงหลายเดือนก่อนหน้านี้:

“ ในเดือนสิงหาคม 2020 พวกเขาเปิดเผยข้อมูลภายในของสององค์กรผ่านเครื่องมือที่เก็บข้อมูลวงจรชีวิตสาธารณะ ข้อมูลที่ถูกขโมยมาจากอินสแตนซ์ SonarQube โดยใช้การตั้งค่าพอร์ตเริ่มต้นและข้อมูลรับรองการดูแลระบบที่ทำงานบนเครือข่ายขององค์กรที่ได้รับผลกระทบ

“ กิจกรรมนี้คล้ายกับการละเมิดข้อมูลก่อนหน้านี้ในเดือนกรกฎาคม 2020 ซึ่งนักแสดงไซเบอร์ที่ถูกระบุได้ทำการขุดลอกซอร์สโค้ดของ บริษัท ผ่านอินสแตนซ์ SonarQube ที่มีการรักษาความปลอดภัยต่ำและเผยแพร่ซอร์สโค้ดที่ถูกกรองออกไปยังพื้นที่เก็บข้อมูลสาธารณะที่โฮสต์ด้วยตนเอง «, 

การแจ้งเตือนของ FBI สัมผัสกับหัวข้อที่ไม่ค่อยมีใครรู้จัก โดยนักพัฒนาซอฟต์แวร์และนักวิจัยด้านความปลอดภัย

ในขณะที่ อุตสาหกรรมการรักษาความปลอดภัยทางไซเบอร์มักเตือนถึงอันตรายจากการออกจากฐานข้อมูล MongoDB หรือ Elasticsearch ที่เปิดเผยทางออนไลน์โดยไม่ต้องใช้รหัสผ่าน SonarQube ได้หลบหนีการเฝ้าระวัง

อันที่จริงแล้ว นักวิจัยมักพบกรณีของ MongoDB หรือ Elasticsearch en linea ที่เปิดเผยข้อมูล ลูกค้าที่ไม่มีการป้องกันมากกว่าหลายสิบล้านราย

ตัวอย่างเช่นในเดือนมกราคม 2019 Justin Paine นักวิจัยด้านความปลอดภัยได้ค้นพบฐานข้อมูล Elasticsearch ออนไลน์ที่กำหนดค่าไม่ถูกต้องเปิดเผยบันทึกลูกค้าจำนวนมากด้วยความเมตตาของผู้โจมตีที่ค้นพบช่องโหว่

ข้อมูลเกี่ยวกับการเดิมพันมากกว่า 108 ล้านรายการรวมถึงรายละเอียดข้อมูลส่วนบุคคลของผู้ใช้เป็นของลูกค้าของกลุ่มคาสิโนออนไลน์

อย่างไรก็ตามนักวิจัยด้านความปลอดภัยบางคนได้เตือนตั้งแต่เดือนพฤษภาคม 2018 ถึงอันตรายเดียวกัน เมื่อ บริษัท ต่างๆออกจากแอปพลิเคชัน SonarQube ที่เปิดเผยทางออนไลน์ด้วยข้อมูลประจำตัวเริ่มต้น

ในเวลานั้น Bob Diachenko ที่ปรึกษาด้านความปลอดภัยทางไซเบอร์ซึ่งมุ่งเน้นไปที่การค้นหาการละเมิดข้อมูลกล่าวเตือนว่าประมาณ 30-40% ของอินสแตนซ์ SonarQube ประมาณ 3,000 รายการที่มีอยู่ทางออนไลน์ในเวลานั้นประมาณ XNUMX-XNUMX% ไม่มีรหัสผ่านหรือกลไกการตรวจสอบสิทธิ์

Fuente: https://blog.sonarsource.com