Ang Federal Bureau of Investigation Nagpadala ang (FBI) ng babala noong Oktubre sa mga serbisyong panseguridad ng mga kumpanya at samahan ng gobyerno.
Nag-leak ang dokumento noong nakaraang linggo Sinasabing ang mga hindi kilalang hacker ay nagsamantala sa isang kahinaan sa platform ng pag-verify ng SonarQube code upang makakuha ng access sa mga repository ng source code. Humahantong ito sa mga paglabas ng source code mula sa mga ahensya ng gobyerno at pribadong kumpanya.
Binalaan ng alerto ng FBI ang mga may-ari ng SonarQube, isang web application na isinasama ng mga kumpanya sa kanilang mga software build chain upang subukan ang source code at tuklasin ang mga butas sa seguridad bago ilabas ang code at mga application sa mga kapaligiran sa produksyon.
Sinasamantala ng mga hacker ang mga kilalang kahinaan sa pagsasaayos, na pinapayagan silang ma-access ang pagmamay-ari na code, i-exfiltrate ito, at mai-publish ang data. Ang FBI ay nakilala ang maraming mga potensyal na pagpasok ng computer na naiugnay sa mga paglabas na nauugnay sa mga kahinaan sa pagsasaayos ng SonarQube.
Ang mga aplikasyon ng Ang SonarQube ay naka-install sa mga web server at kumonekta sa mga code hosting system mapagkukunan tulad ng BitBucket, GitHub, o GitLab account, o mga system ng Azure DevOps.
Ayon sa FBI, ang ilang mga kumpanya ay iniwan ang mga sistemang ito na hindi protektado, na tumatakbo kasama ang default na pagsasaayos (sa port 9000) at mga default na kredensyal ng administrasyon (admin / admin). Inabuso ng mga hacker ang maling pag-configure ng mga application ng SonarQube mula noong hindi bababa sa Abril 2020.
"Mula noong Abril 2020, ang mga hindi kilalang doks ay aktibong naka-target sa mga mahina na pagkakataon ng SonarQube upang makakuha ng pag-access sa mga source code repository mula sa mga ahensya ng gobyerno ng US at mga pribadong kumpanya.
Sinasamantala ng mga hacker ang mga kilalang kahinaan sa pag-configure, pinapayagan silang ma-access ang pagmamay-ari na code, i-exfiltrate ito, at ipakita ang publiko sa publiko. Ang FBI ay nakilala ang maraming mga potensyal na pagpasok ng computer na naiugnay sa mga paglabas na nauugnay sa mga kahinaan sa pagsasaayos ng SonarQube, "nabasa ng dokumento ng FBI.
Ang mga opisyal ng Sinasabi ng FBI na Ang Mga Hacker ng Banta ay Inabuso ang mga Maling setting na ito upang ma-access ang mga pagkakataon ng SonarQube, lumipat sa mga nakakonektang repository ng source code, at pagkatapos ay i-access at magnakaw ng pagmamay-ari o pribado / sensitibong mga application. Sinuportahan ng mga opisyal ng FBI ang kanilang alerto sa pamamagitan ng pagbibigay ng dalawang halimbawa ng mga nakaraang insidente na naganap sa mga nakaraang buwan:
"Noong Agosto 2020, nagsiwalat sila ng panloob na data para sa dalawang mga organisasyon sa pamamagitan ng isang tool sa pampublikong lifecycle repository. Ang ninakaw na data ay nagmula sa mga pagkakataong SonarQube gamit ang mga default na setting ng port at mga kredensyal ng administratibong tumatakbo sa mga network ng mga apektadong organisasyon.
"Ang aktibidad na ito ay katulad ng isang nakaraang paglabag sa data noong Hulyo 2020, kung saan ang isang kinilalang cyber aktor ay nag-exfiltrate ng source code ng kumpanya sa pamamagitan ng hindi magandang pag-secure ng mga pagkakataon ng SonarQube at nai-publish ang na-filter na source code sa isang self-host na pampublikong imbakan. «,
Ang alerto ng FBI ay nakakaapekto sa hindi kilalang paksa ng mga developer ng software at mananaliksik sa seguridad.
Habang ang industriya ng cybersecurity ay madalas na nagbabala ng mga panganibs mula sa pag-iwan ng MongoDB o Elasticsearch database na nakalantad sa online nang walang isang password, nakatakas ang SonarQube sa pagsubaybay.
Sa katunayan, ang Ang mga mananaliksik ay madalas na nakakahanap ng mga pagkakataon ng MongoDB o Elasticsearch online ilantad ang data na iyon higit sa sampu-sampung milyong mga hindi protektadong kliyente.
Halimbawa, noong Enero 2019, natuklasan ni Justin Paine, isang mananaliksik sa seguridad, ang isang maling pag-configure sa online na Elasticsearch database, na inilantad ang isang makabuluhang bilang ng mga tala ng kostumer sa awa ng mga umaatake na natuklasan ang kahinaan.
Ang impormasyon sa higit sa 108 milyong mga pusta, kasama ang mga detalye ng personal na impormasyon ng mga gumagamit, ay pagmamay-ari ng mga customer ng isang pangkat ng mga online casino.
Gayunpaman, upangAng ilang mga mananaliksik sa seguridad ay nagbabala mula Mayo 2018 ng parehong mga panganib kapag iniiwan ng mga kumpanya ang mga application ng SonarQube na nakalantad sa online na may mga default na kredensyal.
Sa oras na iyon, ang consultant ng cybersecurity na nakatuon sa paghahanap ng mga paglabag sa data, si Bob Diachenko, ay nagbabala na sa paligid ng 30-40% ng humigit-kumulang na 3,000 mga kaganapan ng SonarQube na magagamit online sa panahong iyon ay walang na-activate na password o mekanismo ng pagpapatunay.
Fuente: https://blog.sonarsource.com