據(jù)外媒報(bào)道，日前，F(xiàn)BI發(fā)出了一個(gè)安全警報(bào)，其警告威脅行為者正在濫用配置錯(cuò)誤的SonarQube應(yīng)用以訪問并竊取美國(guó)政府機(jī)構(gòu)和私人企業(yè)的源代碼庫(kù)。該機(jī)構(gòu)在上個(gè)月發(fā)出并于本周在其網(wǎng)站上公布的一份警告中指出，這種類型的攻擊事件至少?gòu)?020年4月就已經(jīng)開始了。

該警報(bào)特別警告SonarQube的所有者。SonarQube是一個(gè)基于web的應(yīng)用，各家公司將其集成到自己的軟件構(gòu)建鏈中以便在將代碼和應(yīng)用推出到生產(chǎn)環(huán)境之前測(cè)試源代碼并發(fā)現(xiàn)安全缺陷。

SonarQube應(yīng)用被安裝在web服務(wù)器上并連接到源代碼托管系統(tǒng)如BitBucket、GitHub、GitLab accounts或Azure DevOps systems。

但FBI表示，一些公司沒有保護(hù)這些系統(tǒng)，它們使用的是默認(rèn)的管理憑證(admin/admin)并在默認(rèn)配置（端口9000）上運(yùn)行。

FBI官員稱，威脅者濫用這些錯(cuò)誤配置來訪問SonarQube具體目標(biāo)并將其轉(zhuǎn)移到連接的源代碼庫(kù)，然后訪問和竊取私有/敏感的應(yīng)用。

FBI的警告觸及了一個(gè)軟件開發(fā)人員和安全研究人員很少知道的問題。

網(wǎng)絡(luò)安全行業(yè)經(jīng)常就MongoDB或Elasticsearch數(shù)據(jù)庫(kù)在沒有密碼的情況下暴露在網(wǎng)上的危險(xiǎn)發(fā)出警告，但SonarQube卻沒有受到影響。然而一些安全研究人員早在2018年5月就已經(jīng)就讓SonarQube應(yīng)用在網(wǎng)上暴露默認(rèn)證書的危險(xiǎn)發(fā)出過警告。

當(dāng)時(shí)，數(shù)據(jù)泄露獵人Bob Diachenko警告稱，那個(gè)時(shí)候在線可用的約3000個(gè)SonarQube實(shí)例中有30%到40%沒有啟用密碼或身份驗(yàn)證機(jī)制。

今年，瑞士安全研究員Till Kottmann也提出了SonarQube實(shí)例配置不當(dāng)?shù)耐瑯訂栴}。據(jù)悉，Kottmann在一年的時(shí)間中通過一個(gè)公共門戶網(wǎng)站收集了

為了防止這樣的泄露，F(xiàn)BI的警告列出了公司可以采取的一系列保護(hù)措施，首先是改變應(yīng)用的默認(rèn)配置和憑證，然后使用防火墻來防止未經(jīng)授權(quán)的用戶對(duì)應(yīng)用進(jìn)行未經(jīng)授權(quán)的訪問。

（消息來源：cnBeta；封面來自于網(wǎng)絡(luò)）

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級(jí)服務(wù)市場(chǎng)：https://www.ijiandao.com/