联邦调查局 (FBI)去年XNUMX月发出警告 公司和政府组织的安全服务。
该文件上周泄漏 声称未知的黑客利用了漏洞 在SonarQube代码验证平台上 访问源代码存储库。 这导致政府机构和私人公司的源代码泄漏。
FBI警报警告SonarQube所有者, 公司将其集成到其软件构建链中的Web应用程序,以测试源代码并发现安全漏洞,然后在生产环境中发布代码和应用程序。
黑客利用已知的配置漏洞, 允许他们访问专有代码,对其进行提取和发布数据。 FBI已经确定了多种潜在的计算机入侵,这些入侵与与SonarQube配置漏洞相关的泄漏相关。
的应用 SonarQube安装在Web服务器上 并连接到代码托管系统 源,例如BitBucket,GitHub或GitLab帐户,或Azure DevOps系统。
根据联邦调查局,有些公司将这些系统置于不受保护的状态, 以其默认配置(在端口9000上)和默认管理凭据(admin / admin)运行。 至少从2020年XNUMX月开始,黑客就滥用了配置错误的SonarQube应用程序。
“自2020年XNUMX月以来,身份不明的对象一直积极地针对脆弱的SonarQube实例,以获取美国政府机构和私人公司的源代码存储库。
黑客利用已知的配置漏洞,允许他们访问专有代码,将其泄露并公开显示数据。 FBI已识别出多个潜在的计算机入侵事件,这些入侵与与SonarQube配置中的漏洞相关的泄漏有关。
的官员 FBI说威胁黑客滥用了这些不正确的设置 访问SonarQube实例,切换到连接的源代码存储库,然后访问和窃取专有或私有/敏感应用程序。 联邦调查局官员通过提供两个过去几个月发生的事件的实例来支持他们的警报:
“ 2020年XNUMX月,他们通过公共生命周期存储库工具披露了两个组织的内部数据。 所窃取的数据来自SonarQube实例,这些实例使用默认端口设置和受影响组织网络上运行的管理凭据。
“这项活动类似于2020年XNUMX月的一次数据泄露事件,在那次事件中,一个确定的网络参与者通过安全性较差的SonarQube实例泄露了公司的源代码,并将泄露的源代码发布到了一个自托管的公共存储库中。 «,
FBI警报触及鲜为人知的话题 由软件开发人员和安全研究人员提供。
而 网络安全行业经常警告危险通过使MongoDB或Elasticsearch数据库在没有密码的情况下在线暴露,SonarQube逃脱了监视。
事实上, 研究人员经常发现MongoDB或Elasticsearch的实例 恩LINEA 暴露数据 数以千万计的不受保护的客户。
例如,在2019年XNUMX月,安全研究人员贾斯汀·佩恩(Justin Paine)发现了一个错误配置的在线Elasticsearch数据库,从而使大量客户记录暴露给发现该漏洞的攻击者。
超过108亿个赌注的信息(包括用户的个人信息的详细信息)属于一组在线赌场的客户。
但是,一个自2018年XNUMX月以来,一些安全研究人员警告过同样的危险 当公司让SonarQube应用程序使用默认凭据在线暴露时。
当时,专注于发现数据泄露的网络安全顾问鲍勃·迪亚琴科(Bob Diachenko)警告说,当时在线可用的大约30个SonarQube实例中,大约40-3,000%没有激活密码或身份验证机制。
数据来源: https://blog.sonarsource.com