FBI警告称黑客滥用错误配置的SonarQube应用程序从美国政府机构和私人企业窃取源代码仓库

2020-11-08 08:44:48

美国联邦调查局(FBI)发出安全警报,警告称,威胁分子正在滥用错误配置的SonarQube应用程序,访问和窃取美国政府机构和私人企业的源代码存储库。

美国联邦调查局(FBI)在上月发出的一份警报中表示,入侵至少从2020年4月开始发生,并于本周在其网站上公布。

该警报特别警告SonarQube的所有者。SonarQube是一款基于网络的应用程序,公司将其集成到他们的软件构建链中,以便在将代码和应用程序推出到生产环境之前测试源代码并发现安全漏洞。

SonarQube应用程序安装在Web服务器上,并连接到BitBucket、GitHub或GitLab帐户或Azure DevOps系统等源代码托管系统。

但联邦调查局表示,一些公司没有保护这些系统,它们使用默认管理员凭证(admin/admin)在默认配置(在9000端口上)上运行。

FBI官员表示,威胁分子滥用这些错误配置访问SonarQube实例,转移到连接的源代码存储库,然后访问和窃取专有或私有/敏感的应用程序。

2020年8月,不明身份的威胁参与者通过公共生命周期存储库工具泄露了两个组织的内部数据。被盗数据来自SonarQube实例,这些实例使用在受影响组织网络上运行的默认端口设置和管理员凭据。

这一活动类似于2020年7月发生的前一次数据泄露,当时一名身份明确的网络参与者通过安全性不佳的Sonar Qube实例从企业中渗出了专有源代码,并将渗出的源代码发布在一个自托管的公共存储库上。

FBI的警告触及了软件开发人员和安全研究人员中一个鲜为人知的问题。

虽然网络安全行业经常警告说,让MongoDB或Elasticsearch数据库在没有密码的情况下在网上暴露是危险的,但SonarQube却逃过了一劫。

然而,早在2018年5月,一些安全研究人员就一直在警告让SonarQube应用程序以默认凭据在线暴露的危险。

当时,数据泄露猎人Bob Diachenko警告说,当时在线提供的约3,000个SonarQube实例中,约有30%到40%没有启用密码或身份验证机制。

在@zackWhittaker报道EE泄露后,我在Sonarqube上运行了几个查询。震惊地看到超过3K+的实例可用,其中大约30%-40%的实例没有设置身份验证,几乎一半的实例包含带有Prod数据的源代码。大牌参与其中,这是另一个需要覆盖的领域。Pic.twitter.com/tKBRLOYzq1。

-鲍勃·迪亚琴科(@MayhemDayOne)2018年5月16日。

今年,瑞士安全研究员蒂尔·考特曼(Till Kottmann)也提出了错误配置SonarQube实例的问题。在这一年里,Kottmann在一个公共门户网站上收集了数十家科技公司的源代码,其中许多来自SonarQube应用程序。

Kottmann告诉ZDNet,大多数人似乎绝对不会更改任何设置,实际上SonarQube的设置指南中已经正确解释了这些设置。

我不知道目前暴露的SonarQube实例的数量,但我怀疑它有多大变化。他说:我猜它仍然远远超过1000台服务器(由Shodan编制索引),这些服务器要么不需要认证,要么保留默认证书,容易受到攻击。

@novasolutionsys的源代码已经发布在公共回购上。内容中有墨西哥银行的移动应用源代码,如:[email protected]@[email protected]据称数据来自一个配置错误的SonarQube实例。Pic.twitter.com/yn48OrtWFI。

-银行安全(@Bank_Security)2020年8月18日。

为了防止此类泄密事件的发生,FBI的警告列出了公司可以采取的一系列措施来保护他们的SonarQube服务器,首先修改应用程序的默认配置和凭证,然后使用防火墙阻止未经授权的用户访问该应用程序。