2020年11月10日
11月10日訊 據外媒報道,日前,FBI 發(fā)出了一個安全警報,其警告威脅行為者正在濫用配置錯誤的 SonarQube 應用以訪問并竊取美國政府機構和私人企業(yè)的源代碼庫。
FBI在上個月發(fā)出并于本周在其網站上公布的一份警告中指出,至少從2020年4月就已經開始了這種類型的攻擊事件。
該警報特別警告SonarQube的所有者。SonarQube是一個基于web的應用,各家公司將其集成到自己的軟件構建鏈中,以便在將代碼和應用投入到生產環(huán)境之前測試源代碼并發(fā)現安全缺陷。
SonarQube應用被安裝在 web服務器上并連接到源代碼托管系統,如 BitBucket、GitHub、GitLab accounts 或 Azure DevOps systems。
但FBI表示,一些公司沒有保護這些系統,它們使用的是默認的管理憑證(admin/admin)并在默認配置(端口 9000)上運行。
FBI官員稱,威脅者濫用這些錯誤配置來訪問 SonarQube 具體目標并將其轉移到連接的源代碼庫,然后訪問和竊取私有、敏感的應用程序。
FBI 的警告觸及了一個軟件開發(fā)人員和安全研究人員很少知道的問題。
網絡安全行業(yè)經常就 MongoDB 或 Elasticsearch 數據庫在沒有密碼的情況下暴露在網上的危險發(fā)出警告,但 SonarQube 卻沒有受到影響。然而一些安全研究人員早在 2018 年 5 月就已經就讓 SonarQube 應用在網上暴露默認證書的危險發(fā)出過警告。
當時,數據泄露獵人 Bob Diachenko 警告稱,那個時候在線可用的約 3000 個 SonarQube 實例中有 30% 到 40% 沒有啟用密碼或身份驗證機制。
今年,瑞士安全研究員 Till Kottmann 也提出了 SonarQube 實例配置不當的同樣問題。據悉,Kottmann 在一年的時間中通過一個公共門戶網站收集了數十家科技公司的源代碼,其中很多都來自SonarQube應用程序。
為了防止這樣的泄露,FBI 的警告列出了公司可以采取的一系列保護措施,首先是改變應用的默認配置和憑證,然后使用防火墻來防止未經授權的用戶對應用進行未經授權的訪問。
江蘇國駿-打造安全可信的網絡世界
為IT提升價值
http://borgatopiano.com.cn/
免費咨詢熱線:400-6776-989