背景说明
周五在Freebuf作者群里讨论技术论点(其实就是日常划水摸鱼)时,发现有个小哥在问【SonarQube】是不是出了什么新的高危漏洞,紧急排查SonarQube中ing:
立刻进行地毯式搜索这个【SonarQube】的消息(这是啥我都不知道,做安全就是这样,越做越觉得自己就是菜狗。。)根据搜索到的信息得到整个时间轴:
-
2021.10.20 未知入侵者入侵了博世iSite服务器,并且窃取了物联网连接平台的源码
-
2021.10.23 入侵者声称拿到我G疾控中心的HIS源码
-
2021.10.25 入侵者声称拿到了梅赛德斯-奔驰中国部分源码
-
2021.10.26 入侵者声称公开的是某公安系统的医疗,保险,人事SRC源码
入侵者透露是通过0day从【SonarQube】服务器获取了信息,目前暂不清楚入侵了哪些单位,但是任何使用了【SonarQube】的单位都应该做好管控源码服务器的安全工作,尽快离线【SonarQube】服务器,修改相应的包括但不限于SVN、Gitlab等账号密码。
组件说明
【SonarQube】是一款开源静态代码分析工具,在金融、互联网领域广泛应用,尽管其误漏报率和缺陷模式的更新,与商业工具相比具有一定差距,但其轻量级、与Devops快速集成、免费使用等特点受到了很多软件开发组织的青睐,仍然被很多用户选择其为研发安全的重要白盒检测工具。
未授权攻击者可利用通过(CVE-2020-27986)【/api/settings/values】获取明文SMTP、SVN和GitLab凭证。
漏洞分析
通过网络空间搜索引擎对【SonarQube】进行搜索,存在21492 条独立IP:
全球分布图如下:
美国最多为10677,其次为中国为2573。
通过访问:/api/settings/values 可以直接获取敏感信息:
-
获取smtp账号密码
-
获取SVN账号密码
另外发现该系统还存在另外一个接口信息泄漏:
/api/webservices/list
翻阅CNVD发现该系统最新通报还存在未授权漏洞:
描述中的系统配置不当接口,尚不清楚是哪个接口,但是提到了默认口令,无非就是adnin/admin,admin/123456,admin/admin123.这几种。实际证明是:
admin/admin
处置建议
敏感信息泄漏漏洞:官方已发布更新补丁,
补丁链接:https://csl.com.co/sonarqube-auditando-al-auditor-parte-i/。
未授权访问漏洞:官方暂未提供解决方案,请持续关注官方消息。
建议用户立即删除代码或者离线,关闭公网访问。
本文章仅供学习交流,不得用于非法用途!
关注我们
启明星辰知白学院旗下安全实验室,致力于网络安全攻防实战探索与积累、解读前沿安全技术,安全培训课题、提供企业级安全自动化解决方案。
参考链接
https://mp.weixin.qq.com/s/c6RpvvY5ihRKVmcAFeXGXg
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-27986