聚焦源代码安全,网罗国内外最新资讯!
SonarQube 是一款开源的自动化代码质量审计和静态分析平台,用于发现项目中的bug 和安全漏洞,支持27种语言。
自2020年4月起,易受攻击的 SonarQube 服务器就被用于获取、提取并公开泄漏政府和企业实体的数据源代码仓库的访问权限。
FBI 指出已识别出多起类似事件,从攻击发动时起,攻击者就已在滥用 SonarQube 配置漏洞。
FBI 在警告中指出,“从2020年4月开始,FBI 就发现了和不安全的 SonarQube 实例相关的源代码泄漏事件,这些源代码来自政府和企业,遍布技术、金融、零售、视频、电子商务和制造行业。”
即使 FBI 并未对外公开这些攻击活动,但 BleepingComputer 已在7月报道称数十家企业的源代码被盗且遭泄漏。
开发兼逆向工程师 Tillie Kottmann 收集并在一个 GitHub 公开库中发布了超过50家公司的被泄漏代码,包括微软、Adobe、联想、AMD、高通、摩托罗拉、华为海思、联发科、美国通用电气、Nintendo、Roblox和迪斯尼等。
当时,Kottmann 表示,数千家企业因未能正确地保护 SonarQube 安装程序,而导致自身的专有源代码遭泄漏。
8月份,Kottmann 从一个据悉之前攻击 Intel 服务器的匿名人士处获得大约20GB 大小的机密信息并公开。Intel 公司随后表示,“信息似乎源自 Intel 公司的资源和设计中心,该中心托管的信息为客户、合作伙伴和其他已注册访问权限的人群服务。“
攻击者首先会通过默认端口号(9000)扫描暴露在互联网上的 SonarQube 实例。发现遭暴露的服务器后,尝试使用默认的 admin/admin 凭据访问易受攻击的实例。虽然并未给出任何受影响的实体名称,FBI在紧急警告信息中提到了两起事件,其中一起由已识别出的攻击者开展,另外一起的攻击者身份尚不知晓。
-
2020年7月,一个已被识别出的攻击者通过保护不力的 SonarQube 实例从企业提取专有源代码并在自托管的公开库上发布了已提取的源代码。
-
2020年8月,未知的威胁行动者通过一个公开的生命周期仓库工具泄漏了两家组织机构的内部数据。被盗数据源自多个 SonarQube 实例。这些实例使用了受影响的在组织机构网络上运行的默认端口设置和 admin 凭据。
FBI 提供的缓解措施如下:
-
更改 SonarQube 的默认设置,包括更改默认的管理员用户名、密码和端口 (9000).
-
在登录屏幕之后放置 SonarQube 实例,并检查未授权用户是否能够访问实例。
-
在可行的情况下,撤销对 SonarQube 实例中公开的任何应用程序编程接口蜜钥或其它凭据的访问。
-
配置 SonarQube 实例,通过防火墙和其它外围防御程序进行保护,防止未经身份验证的访问。
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个 “在看” 吧~
原文始发于微信公众号(代码卫士):FBI紧急警告:黑客利用开源SonarQube实例窃取政府和企业源代码
