FBI 于日前公布了一个安全性警报称,有网络黑客已经乱用配置不正确的 SonarQube 应用软件,以访问和盗取美国政府机构及其民营企业的源码库。
FBI 在警报中尤其警告了 SonarQube 的使用者。SonarQube 是一个用以管理方法源代码品质的服务平台,协助开发人员撰写整洁的编码,其适用的语言表达包括:Python、Java、PHP、C#、C、Cobol、PL/SQL 与 Flex 等。SonarQube 运用被组装在 web 网络服务器上并联接到源码代管系统软件如 BitBucket、GitHub、GitLab accounts 或 Azure DevOps systems。
警报內容强调,该类进攻事情从2022年 4 月逐渐就早已开始了;受影响的除开有英国的很多政府部门以外,还包括高新科技、金融业、零售、食品类、移动电商与制作等方面的私企 。网络黑客根据采掘已经知道的 SonarQube 配置系统漏洞,以访问 SonarQube 所储存的私有化编程代码,并将他们公诸于众。
在原始进攻环节,网络黑客起先应用默认设置端口号(9000)和一个可公布访问的 IP 详细地址在移动互联网上扫描仪曝露在对外开放互联网技术上的 SonarQube 实例。随后,再应用默认设置的管理人员凭据(登录名:admin,登陆密码:admin)尝试访问 SonarQube 实例。现阶段,FBI 早已看到了好几个潜在性的电子计算机侵入个人行为,均与 SonarQube 配置系统漏洞有关的泄露相关。
如 ZDNet 上述,FBI 的这一警报涉及到到了手机软件开发者和安全性科研工作人员中一个不为人知的问题。尽管网络信息安全领域常常就 MongoDB 或 Elasticsearch 数据库查询在沒有登陆密码的情形下曝露在网络上的风险传出警告,但 SonarQube 却变成了散兵游勇。
实际上,早在 2018 年 5 月,一些安全性科研工作人员就早已对于让 SonarQube 运用在网络上曝露默认设置资格证书的危险因素传出过警告。那时,数据泄漏猎人兽Bob Diachenko曾警告称,那时候线上上出示的全部约 3000 个 SonarQube 实例中,约有 30% 至 40% 沒有开启登陆密码或验证体制。
2022年,一位名字叫做 Till Kottmann 的德国瑞士安全性科研工作人员也明确提出了一样的问题,即配置不正确的 SonarQube 实例。Kottmann 表露,在这一年的时间段里,他早已在一个公共性门户网上搜集了数十家科技公司的源码,包括有微软公司、Adobe、Amd 及其中国台湾的MTK等,在其中许多数据信息就来自于 SonarQube 运用。
为了避免再次产生该类泄漏事情,FBI 在警报中列举了一系列减轻对策,包括有:
- 变更 SonarQube 的默认,包括变更默认设置的管理人员登录名、 登陆密码和端口号(9000)。
- 将 SonarQube 实例放置登陆对话框后,并检验是不是有没有经过认证的客户访问该实例。
- 假如行得通得话,撤消全部储放在公布 SonarQube 实例中的各种各样 API 密匙与凭据。
将 SonarQube 实例配置在机构的服务器防火墙和别的外部防护系统后边,以避免没经验证的访问。