FBI發(fā)出安全警告:黑客竊取了美國政府機構(gòu)和私人企業(yè)的源代碼
2020年11月10日
11月10日訊 據(jù)外媒報道����,日前��,F(xiàn)BI 發(fā)出了一個安全警報�,其警告威脅行為者正在濫用配置錯誤的 SonarQube 應(yīng)用以訪問并竊取美國政府機構(gòu)和私人企業(yè)的源代碼庫。
FBI在上個月發(fā)出并于本周在其網(wǎng)站上公布的一份警告中指出���,至少從2020年4月就已經(jīng)開始了這種類型的攻擊事件���。
該警報特別警告SonarQube的所有者。SonarQube是一個基于web的應(yīng)用�,各家公司將其集成到自己的軟件構(gòu)建鏈中,以便在將代碼和應(yīng)用投入到生產(chǎn)環(huán)境之前測試源代碼并發(fā)現(xiàn)安全缺陷����。
SonarQube應(yīng)用被安裝在 web服務(wù)器上并連接到源代碼托管系統(tǒng),如 BitBucket����、GitHub�、GitLab accounts 或 Azure DevOps systems�。
但FBI表示,一些公司沒有保護這些系統(tǒng)��,它們使用的是默認的管理憑證(admin/admin)并在默認配置(端口 9000)上運行�����。
FBI官員稱��,威脅者濫用這些錯誤配置來訪問 SonarQube 具體目標并將其轉(zhuǎn)移到連接的源代碼庫�����,然后訪問和竊取私有��、敏感的應(yīng)用程序����。
FBI 的警告觸及了一個軟件開發(fā)人員和安全研究人員很少知道的問題。
網(wǎng)絡(luò)安全行業(yè)經(jīng)常就 MongoDB 或 Elasticsearch 數(shù)據(jù)庫在沒有密碼的情況下暴露在網(wǎng)上的危險發(fā)出警告�,但 SonarQube 卻沒有受到影響。然而一些安全研究人員早在 2018 年 5 月就已經(jīng)就讓 SonarQube 應(yīng)用在網(wǎng)上暴露默認證書的危險發(fā)出過警告。
當時��,數(shù)據(jù)泄露獵人 Bob Diachenko 警告稱�����,那個時候在線可用的約 3000 個 SonarQube 實例中有 30% 到 40% 沒有啟用密碼或身份驗證機制����。
今年��,瑞士安全研究員 Till Kottmann 也提出了 SonarQube 實例配置不當?shù)耐瑯訂栴}��。據(jù)悉���,Kottmann 在一年的時間中通過一個公共門戶網(wǎng)站收集了數(shù)十家科技公司的源代碼����,其中很多都來自SonarQube應(yīng)用程序����。
為了防止這樣的泄露,F(xiàn)BI 的警告列出了公司可以采取的一系列保護措施����,首先是改變應(yīng)用的默認配置和憑證�����,然后使用防火墻來防止未經(jīng)授權(quán)的用戶對應(yīng)用進行未經(jīng)授權(quán)的訪問����。
江蘇國駿-打造安全可信的網(wǎng)絡(luò)世界
為IT提升價值
http://hbshty.cn/
免費咨詢熱線:400-6776-989
