聯(lián)邦調(diào)查局發(fā)出安全警報(bào)：黑客正在濫用配置錯(cuò)誤的SonarQube應(yīng)用程序訪問并竊取美國政府機(jī)構(gòu)和企業(yè)的源代碼存儲庫。

聯(lián)邦調(diào)查局表示，黑客最早從2020年4月開始進(jìn)行網(wǎng)絡(luò)攻擊活動(dòng)， 于本周在網(wǎng)站上公開。該警報(bào)特別提醒基于Web的應(yīng)用程序SonarQube的所有者：供應(yīng)商已將其集成到軟件構(gòu)建鏈中，測試源代碼并發(fā)現(xiàn)安全漏洞，然后再將代碼和應(yīng)用程序推廣到生產(chǎn)環(huán)境中。SonarQube應(yīng)用程序安裝在Web服務(wù)器上，并連接到源代碼托管系統(tǒng)，例如BitBucket、GitHub或GitLab帳戶、Azure DevOps系統(tǒng)。

聯(lián)邦調(diào)查局表示：未使用默認(rèn)管理員憑據(jù)（admin / admin）以其默認(rèn)配置（在端口9000上）運(yùn)行系統(tǒng)的單位不受保護(hù)。

黑客濫用了錯(cuò)誤配置來訪問SonarQube，轉(zhuǎn)到連接的源代碼存儲庫，進(jìn)而訪問和竊取專有應(yīng)用程序的數(shù)據(jù)。

“ 2020年8月，未知黑客通過公共生命周期存儲庫工具從兩個(gè)組織竊取了內(nèi)部數(shù)據(jù)。被盜數(shù)據(jù)來自使用了受影響組織網(wǎng)絡(luò)上運(yùn)行的默認(rèn)端口設(shè)置和管理員憑據(jù)的SonarQube?！?/em>

“該網(wǎng)絡(luò)攻擊活動(dòng)與2020年7月的一次數(shù)據(jù)泄漏事件相似，一個(gè)已知黑客通過安全性較差的SonarQube竊取并發(fā)布了被攻擊企業(yè)的專有源代碼?！?/em>

2018年5月以來，安全研究人員就警告將SonarQube應(yīng)用程序在線暴露給默認(rèn)憑據(jù)存在高度安全隱患。

鮑勃·迪亞琴科（Bob Diachenko）表示：當(dāng)時(shí)在線可用的所有3000個(gè)SonarQube實(shí)例中，大約30％至40％沒有啟用密碼或身份驗(yàn)證機(jī)制。

瑞士安全研究人員Till Kottmann也提出了相同問題。Kottmann在公共門戶網(wǎng)站上收集了數(shù)十家科技公司的源代碼，其中許多來自SonarQube應(yīng)用程序。Kottmann告訴ZDNet：?“大多數(shù)人似乎都不會更改相關(guān)設(shè)置，但SonarQube的安裝指南有詳細(xì)解釋。”

FBI發(fā)布了保護(hù)SonarQube服務(wù)器的相關(guān)措施：首先是更改應(yīng)用程序的默認(rèn)配置和憑據(jù)；然后使用防火墻防止未經(jīng)授權(quán)的用戶訪問該應(yīng)用程序。

消息及封面來源：ZDNet；譯者：小江。

本文由?HackerNews.cc?翻譯整理。