Федеральне бюро розслідувань (ФБР) направило попередження в жовтні минулого року до служб безпеки компаній та державних організацій.
Документ просочився минулого тижня заявляє, що невідомі хакери скористалися вразливістю на платформі перевірки коду SonarQube отримати доступ до сховищ вихідного коду. Це призводить до витоків вихідного коду з державних установ та приватних компаній.
Повідомлення ФБР попередило власників SonarQube, веб-додаток, яке компанії інтегрують у свої ланцюжки побудови програмного забезпечення для тестування вихідного коду та виявлення дірок у безпеці перед випуском коду та програм у виробничих середовищах.
Хакери користуються відомими вразливими місцями конфігурації, дозволяючи їм отримувати доступ до власного коду, просочувати його та публікувати дані. ФБР виявило численні потенційні втручання в комп'ютер, які пов'язані з витоками, пов'язаними з вразливими місцями конфігурації SonarQube.
Застосування Росії SonarQube встановлюються на веб-серверах і підключитися до систем хостингу коду джерело, таке як акаунти BitBucket, GitHub або GitLab, або системи Azure DevOps.
За даними ФБР, деякі компанії залишили ці системи незахищеними, працює із конфігурацією за замовчуванням (на порту 9000) та обліковими даними адміністратора за замовчуванням (admin / admin). Хакери зловживають неправильно налаштованими програмами SonarQube щонайменше з квітня 2020 року.
«З квітня 2020 року невідомі хаки активно націлюються на вразливі екземпляри SonarQube, щоб отримати доступ до сховищ вихідних кодів від державних установ США та приватних компаній.
Хакери використовують відомі вразливості конфігурації, дозволяючи їм отримувати доступ до власного коду, просочувати його та публічно відображати дані. ФБР виявило кілька потенційних вторгнень у роботу комп’ютерів, які пов’язані з витоками, пов’язаними з уразливими місцями у конфігурації SonarQube ”, - йдеться у документі ФБР.
Чиновники ФБР заявляє, що хакери загроз зловживали цими неправильними налаштуваннями щоб отримати доступ до екземплярів SonarQube, перейдіть до підключених сховищ вихідного коду, а потім отримайте доступ до крадіжок власних або приватних / конфіденційних програм. Службовці ФБР підкріпили своє попередження, надавши два приклади минулих інцидентів, що мали місце в попередні місяці:
«У серпні 2020 року вони відкрили внутрішні дані для двох організацій за допомогою інструменту публічного зберігання життєвого циклу. Викрадені дані надходили з екземплярів SonarQube, використовуючи налаштування портів за замовчуванням та адміністративні дані, що працюють у мережах уражених організацій.
«Ця діяльність подібна до попереднього порушення даних у липні 2020 року, коли ідентифікований кіберактор просочив вихідний код компанії через погано захищені екземпляри SonarQube та опублікував вилучений вихідний код до публічного сховища, що розміщується самостійно. . «,
Повідомлення ФБР стосується маловідомої теми розробниками програмного забезпечення та дослідниками безпеки.
Si Bien галузь кібербезпеки часто попереджала про небезпекуНе залишаючи бази даних MongoDB або Elasticsearch відкритими в Інтернеті без пароля, SonarQube уникнув нагляду.
Насправді Дослідники часто виявляють випадки MongoDB або Elasticsearch онлайн які виставляють дані понад десятки мільйонів незахищених клієнтів.
Наприклад, у січні 2019 року Джастін Пейн, дослідник безпеки, виявив неправильно налаштовану онлайн-базу даних Elasticsearch, піддавши значну кількість записів клієнтів на милість зловмисників, які виявили вразливість.
Інформація про понад 108 мільйонів ставок, включаючи деталі особистої інформації користувачів, належала клієнтам групи онлайн-казино.
Однак, щобДеякі дослідники безпеки попереджали з травня 2018 року про ті самі небезпеки коли компанії залишають програми SonarQube підключеними до Інтернету з обліковими даними за замовчуванням.
Тоді консультант з кібербезпеки, який зосереджується на пошуку порушень даних, Боб Діаченко попередив, що близько 30-40% із приблизно 3,000 екземплярів SonarQube, доступних в Інтернеті на той час, не мали активованих пароля та механізму автентифікації.
Фуенте: https://blog.sonarsource.com