联邦调查局已经发出安全警报,警告威胁行为体正在滥用配置错误的SonarQube应用程序访问和窃取美国政府机构和私营企业的源代码存储库。
入侵事件至少从2020年4月开始发生,联邦调查局说https://www.ic3.gov/Media/News/2020/201103-3.pdf“target=”noopener noreferrer nofollow“data component=”externalLink“>上个月发出并于本周在其网站上公开的警报。
该警报特别警告SonarQube,一种基于web的应用程序,公司将其集成到软件构建链中,以在将代码和应用程序部署到生产环境之前测试源代码并发现安全缺陷。
SonaQube应用程序安装在web服务器上,并连接到源代码托管系统,如BitBucket、GitHub或GitLab帐户或AzureDevOps系统。
但联邦调查局表示,一些公司让这些系统处于未受保护的状态,在默认配置(9000端口)上运行,并带有默认管理员凭据(admin/admin)。
FBI官员说,威胁参与者滥用这些错误配置来访问SonarQube实例,转到连接的源代码存储库,然后访问和窃取专有或私有/敏感应用程序。
官员提供了两个过去事件的例子:
“在2020年8月,未知的威胁参与者通过公共生命周期存储库工具从两个组织泄露了内部数据。被盗数据来源于SonarQube实例,这些实例使用了受影响组织网络上运行的默认端口设置和管理员凭据。
“此活动类似于2020年7月的前一次数据泄漏,其中,一名已确认的网络参与者通过安全可靠的SonarQube实例从企业中过滤出专有源代码,并在一个自托管的公共存储库中发布了已过滤的源代码。“
联邦调查局的警报触及了软件开发人员和安全部门中一个鲜为人知的问题研究人员。
虽然网络安全行业经常警告说,让MongoDB或Elasticsearch数据库在没有密码的情况下在线暴露的危险,但SonarQube已经从裂缝中钻了出来。
然而,一些安全研究人员一直警告说,让SonarQube应用程序默认在线暴露的危险性早在2018年5月,数据泄露猎人鲍勃·迪亚琴科(Bob Diachenko)就警告说,当时在线提供的约3000个SonarQube实例中,约有30%至40%没有启用密码或身份验证机制。
今年,一位名叫蒂尔科特曼的瑞士安全研究人员也提出了同样的问题,即配置错误的SonarQube实例。在这一年中,Kottmann在一个公共门户网站上收集了数十家科技公司的源代码,其中许多都来自SonarQube应用程序。
“大多数人似乎完全没有更改任何设置,而这些设置实际上在SonarQube的设置指南中得到了正确的解释,Kottmann告诉ZDNet说:“我不知道目前暴露在外的SonarQube实例的数量,但我怀疑它有多大变化。他说:“我猜仍然有超过1000台服务器(由Shodan编入索引),这些服务器要么不需要授权,要么留下默认凭据,它们都是‘易受攻击的’。
为了防止此类泄密,FBI alert列出了一系列公司可以采取的保护SonarQube服务器的措施,从更改应用程序的默认配置和凭据开始,然后使用防火墙阻止未经授权的用户对应用程序的未授权访问。
以色列公司针对新Pay2Key勒索软件,“pageType”:“article”}>盗取您数据的勒索软件团伙并不总是将其删除
