Xakerlar AQSh davlat idoralari va xususiy kompaniyalardan manba kodini o'g'irlashdi

Federal tergov byurosi (FQB) o'tgan oktyabr oyida ogohlantirish yuborgan kompaniyalar va davlat tashkilotlari xavfsizlik xizmatlariga.

Hujjat o'tgan hafta oshkor bo'ldi da'volar noma'lum xakerlar zaiflikdan foydalangan SonarQube kodini tekshirish platformasida manba kodi omborlariga kirish uchun. Bu davlat idoralari va xususiy kompaniyalar tomonidan manba kodlari tarqalishiga olib keladi.

Federal qidiruv byurosi ogohlantirishi SonarQube egalarini ogohlantirdi, kompaniyalar o'zlarining dasturiy ta'minotlariga qo'shadigan veb-dastur, ishlab chiqarish muhitida kod va dasturlarni chiqarishdan oldin manba kodini sinab ko'rish va xavfsizlik teshiklarini topish uchun zanjirlar yaratadilar.

Xakerlar ma'lum konfiguratsiya zaifliklaridan foydalanadilar, ularga mulkiy koddan foydalanish, uni eksfiltratsiya qilish va ma'lumotlarni nashr etish imkoniyatini beradi. Federal qidiruv byurosi SonarQube konfiguratsiyasining zaifliklari bilan bog'liq bo'lgan qochqinlar bilan bog'liq bo'lgan bir nechta potentsial kompyuter intruziyalarini aniqladi.

Dasturlar SonarQube veb-serverlarda o'rnatiladi va kodlarni joylashtirish tizimlariga ulanish BitBucket, GitHub yoki GitLab qayd yozuvlari yoki Azure DevOps tizimlari kabi manba.

Federal qidiruv byurosi ma'lumotlariga ko'ra, ba'zi kompaniyalar ushbu tizimlarni himoyasiz qoldirgan, standart konfiguratsiyasi (9000 portida) va standart ma'muriy hisobga olish ma'lumotlari (admin / admin) bilan ishlaydi. Hackerlar kamida 2020 yil aprelidan beri noto'g'ri tuzilgan SonarQube dasturlarini suiiste'mol qilishdi.

«2020 yil aprel oyidan boshlab noma'lum hujjatlar AQShning davlat idoralari va xususiy kompaniyalarining manba kodlari omborlariga kirish huquqini olish uchun SonarQube-ning zaif nusxalarini faol ravishda nishonga olishmoqda.

Xakerlar ma'lum konfiguratsiya zaifliklaridan foydalanib, ularga xususiy kodga kirish, uni eksfiltratsiya qilish va ma'lumotlarni ochiq namoyish etish imkoniyatini beradi. Federal qidiruv byurosi SonarQube konfiguratsiyasidagi zaifliklar bilan bog'liq bo'lgan qochqinlar bilan o'zaro bog'liq bo'lgan bir nechta potentsial kompyuter intruziyalarini aniqladi », - deyiladi Federal qidiruv byurosi hujjatida.

Rasmiylari Federal qidiruv byurosi ushbu noto'g'ri sozlamalarni suiiste'mol qilgani bilan tahdid qiluvchi xakerlarni aytmoqda SonarQube misollariga kirish, ulangan manba kodlari omborlariga o'tish, keyin xususiy yoki shaxsiy / sezgir dasturlarga kirish va o'g'irlash. Federal qidiruv byurosi mutasaddilari o'tgan oylarda sodir bo'lgan voqealarga oid ikkita misolni keltirgan holda o'zlarining ogohlantirishlarini qo'llab-quvvatladilar:

«2020 yil avgust oyida ular ikki tashkilot uchun ichki ma`lumotlarni jamoat hayotini saqlash ombori vositasi orqali aniqladilar. O'g'irlangan ma'lumotlar standart port sozlamalari va ta'sirlangan tashkilotlarning tarmoqlarida ishlaydigan ma'muriy hisobga olish ma'lumotlari yordamida SonarQube misollaridan olingan.

«Ushbu faoliyat 2020 yil iyulida bo'lib o'tgan ma'lumotlarning buzilishiga o'xshaydi, unda aniqlangan kiber aktyor kompaniyaning manba kodini yomon himoyalangan SonarQube misollari orqali eksfiltratsiya qildi va eksfiltrlangan manba kodini o'zi joylashtirilgan ommaviy omborga joylashtirdi. «, 

Federal qidiruv byurosi ogohlantirishi ko'pchilikka ma'lum bo'lmagan mavzuga tegishli dasturiy ta'minot ishlab chiquvchilari va xavfsizlik tadqiqotchilari tomonidan.

Qachonki kiberxavfsizlik sanoati ko'pincha xavf haqida ogohlantirganParolsiz onlayn ravishda MongoDB yoki Elasticsearch ma'lumotlar bazalarini tark etish natijasida SonarQube kuzatuvdan qochib qoldi.

Aslida Tadqiqotchilar ko'pincha MongoDB yoki Elasticsearch misollarini topdilar Onlaynda ma'lumotlarni oshkor qiladigan o'n milliondan ortiq himoyalanmagan mijozlar.

Masalan, 2019 yil yanvar oyida xavfsizlik bo'yicha tadqiqotchi Jastin Peyn noto'g'ri tuzilgan onlayn Elasticsearch ma'lumotlar bazasini kashf etdi va mijozlar yozuvlarining katta qismini ushbu zaiflikni aniqlagan tajovuzkorlarning rahm-shafqatiga duchor qildi.

108 milliondan ortiq garovlar to'g'risidagi ma'lumotlar, shu jumladan foydalanuvchilarning shaxsiy ma'lumotlari tafsilotlari, onlayn kazinolar guruhi mijozlariga tegishli edi.

Biroq, toBa'zi xavfsizlik tadqiqotchilari 2018 yil may oyidan boshlab xuddi shunday xavf haqida ogohlantirdilar qachon kompaniyalar SonarQube dasturlarini standart hisobga olish ma'lumotlari bilan onlayn ravishda qoldiradilar.

O'sha paytda kiberxavfsizlik bo'yicha maslahatchi Bob Diachenko ma'lumotlarning buzilishini aniqlashga e'tibor qaratdi, o'sha paytda Internetda mavjud bo'lgan 30 ga yaqin SonarQube misollarining taxminan 40-3,000 foizida parol yoki autentifikatsiya mexanizmi yoqilmaganligi haqida ogohlantirdi.

Manba: https://blog.sonarsource.com


Maqolaning mazmuni bizning printsiplarimizga rioya qiladi muharrirlik etikasi. Xato haqida xabar berish uchun bosing bu erda.

Birinchi bo'lib izohlang

Fikringizni qoldiring

Sizning email manzilingiz chop qilinmaydi.

*

*

  1. Ma'lumotlar uchun javobgardir: Migel Anxel Gaton
  2. Ma'lumotlarning maqsadi: SPAMni boshqarish, izohlarni boshqarish.
  3. Qonuniylashtirish: Sizning roziligingiz
  4. Ma'lumotlar haqida ma'lumot: qonuniy majburiyatlar bundan mustasno, ma'lumotlar uchinchi shaxslarga etkazilmaydi.
  5. Ma'lumotlarni saqlash: Occentus Networks (EU) tomonidan joylashtirilgan ma'lumotlar bazasi
  6. Huquqlar: istalgan vaqtda siz ma'lumotlaringizni cheklashingiz, tiklashingiz va o'chirishingiz mumkin.