联邦调查局(FBI):黑客从美国政府机构和私人公司窃取了源代码


FBI将入侵归咎于配置错误的SonarQube源代码管理工具。

联邦调查局已发出安全警报,警告威胁者正在滥用配置错误的SonarQube应用程序,以访问和窃取美国政府机构和私营企业的源代码存储库。

联邦调查局在 上个月发出的警报中表示,至少从2020年4月开始进行入侵, 并于本周在其网站上公开。

该警报特别警告SonarQube的所有者,  SonarQube是一个基于Web的应用程序,公司已将其集成到其软件构建链中,以测试源代码并发现安全漏洞,然后再将代码和应用程​​序推送到生产环境中。

SonarQube应用程序安装在Web服务器上,并连接到源代码托管系统,例如BitBucket,GitHub或GitLab帐户或Azure DevOps系统。

但是联邦调查局说,一些公司没有使用默认管理员凭据(admin / admin)以其默认配置(在端口9000上)运行这些系统,因此不受保护。

联邦调查局官员说,威胁行动者滥用了这些错误配置来访问SonarQube实例,转到连接的源代码存储库,然后访问和窃取专有或私有/敏感应用程序。

“ 2020年8月,未知威胁参与者通过公共生命周期存储库工具从两个组织泄漏了内部数据。被盗数据来自SonarQube实例,该实例使用了默认端口设置和在受影响组织网络上运行的管理员凭据。

“这项活动类似于2020年7月的一次数据泄漏,在一次数据泄漏中,一个确定的网络参与者通过安全性较差的SonarQube实例从企业中窃取了专有源代码,并在自托管的公共存储库中发布了该源代码。”

今年,一位名叫Till Kottmann的瑞士安全研究人员也提出了配置错误的SonarQube实例的同一问题。全年以来,Kottmann在公共门户网站上收集了数十家科技公司的源代码,其中许多来自SonarQube应用程序。

Kottmann告诉ZDNet: “大多数人似乎绝对没有改变任何设置,而实际上在SonarQube的设置指南中对此进行了正确解释 。”

“我不知道当前公开的SonarQube实例的数量,但是我怀疑它变化不大。我想它仍然远远超过1,000台服务器(由Shodan索引),这些服务器由于不需要身份验证或保留默认值而容易受到攻击”,”他说。

为防止此类泄漏,FBI警报列出了公司可以采取的一系列步骤来保护其SonarQube服务器,首先是更改应用程序的默认配置和凭据,然后使用防火墙来防止未经授权的用户未经授权访问该应用程序。

Top