首页 >> 网络安全 >>系统安全 >> 通过错误配置的SonarQube访问联邦源代码
详细内容

通过错误配置的SonarQube访问联邦源代码

时间:2020-11-05        阅读

在美国联邦调查局已发出闪光警告被身份不明的威胁组织正在积极针对弱势SonarQube情况下,以美国政府机构和私人企业的访问源代码库。


该机构指出,自四月份以来,黑客一直在利用SonarQube实例中的已知配置漏洞来获取访问权限并泄露专有代码,然后公开发布数据。FBI警报最初是在10月作为私人警报分发给组织的,但在周二向该局的互联网犯罪投诉中心公开发布。


SonarQube是一个用于自动化代码质量审核和静态分析的开源平台,该平台用于发现各种应用程序项目中的错误和安全漏洞。它通过使用20多种独立的编程语言来帮助检查软件缺陷来实现此目的。


FBI警报指出:“到2020年8月,未知威胁者通过公共生命周期存储库工具从两个组织泄漏了内部数据。被盗数据来自SonarQube实例,这些实例使用了默认端口设置和在受影响组织网络上运行的管理员凭据。” 。


一个实例在这种情况下是指“由单一SQL Server服务运行SQL Server数据库的集合。”


根据警报,FBI确定了多个潜在的计算机入侵,这些入侵与与SonarQube配置漏洞相关的泄漏相关。


获得对SonarQube的访问权限

FBI注意到,在初始攻击阶段,威胁行为者使用默认端口(9000)和可公开访问的IP地址,在网络上扫描了SonarQube实例,这些实例暴露在开放的Internet中。接下来,根据警报,黑客使用默认的管理员凭据(用户名:admin,密码:admin)尝试访问SonarQube实例。


联邦调查局至少从4月开始就观察到与不安全的SonarQube实例相关的源代码泄漏。该警报称,威胁参与者的主要目标是技术,金融,零售,食品,电子商务和制造领域的联邦政府机构和私人公司。


美国联邦调查局(FBI)指出,这一活动与7月份的一次数据泄露事件相似,当时身份不明的黑客通过安全性较差的SonarQube实例从企业窃取了专有源代码,并将被盗的源代码发布在自托管的公共存储库中。


5月,任天堂数据的大量泄漏,包括旧游戏系统的源代码,游戏原型以及大量的软件和硬件文档,在游戏玩家之间造成了严重破坏。


泄漏的材料包括Wii,N64和GameCube系统的源代码以及N64的演示游戏。还泄漏了大量的硬件和软件工程文档以及软件开发套件。


推荐的缓解措施

作为警报的一部分,FBI警告SonarQube的政府和非政府用户都应遵循几个步骤,以确保他们使用的任何实例都是安全的。这包括:

  • 更改SonarQube默认设置,包括管理员用户名,密码和端口(9000);

  • 不断监视SonarQube实例,以检查未经授权的用户是否已访问它们;

  • 撤消对SonarQube实例中公开的任何应用程序编程接口密钥或其他凭证的访问;

  • 将SonarQube实例配置为位于组织的防火墙和其他外围防御之后,以防止未经身份验证的访问。


.
更多

1589982338979126.png


ots网络社区

www.ots-sec.cn

联系方式
更多

投稿邮箱:1481840992@qq.com

交流群2群:622534175

ots网络社区3群:1078548359

关注我们
更多
技术支持: 建站ABC | 管理登录