聲明：該文章由作者（婭米）發(fā)表，轉載此文章須經作者同意并請附上出處(0XUCN)及本頁鏈接。。

據外媒報道，日前，FBI發(fā)出了一個安全警報，其警告威脅行為者正在濫用配置錯誤的SonarQube應用以訪問并竊取美國政府機構和私人企業(yè)的源代碼庫。該機構在上個月發(fā)出并于本周在其網站上公布的一份警告中指出，這種類型的攻擊事件至少從2020年4月就已經開始了。

該警報特別警告SonarQube的所有者。SonarQube是一個基于web的應用，各家公司將其集成到自己的軟件構建鏈中以便在將代碼和應用推出到生產環(huán)境之前測試源代碼并發(fā)現安全缺陷。

SonarQube應用被安裝在web服務器上并連接到源代碼托管系統(tǒng)如BitBucket、GitHub、GitLab accounts或Azure DevOps systems。

但FBI表示，一些公司沒有保護這些系統(tǒng)，它們使用的是默認的管理憑證(admin/admin)并在默認配置（端口9000）上運行。

FBI官員稱，威脅者濫用這些錯誤配置來訪問SonarQube具體目標并將其轉移到連接的源代碼庫，然后訪問和竊取私有/敏感的應用。

FBI的警告觸及了一個軟件開發(fā)人員和安全研究人員很少知道的問題。

網絡安全行業(yè)經常就MongoDB或Elasticsearch數據庫在沒有密碼的情況下暴露在網上的危險發(fā)出警告，但SonarQube卻沒有受到影響。然而一些安全研究人員早在2018年5月就已經就讓SonarQube應用在網上暴露默認證書的危險發(fā)出過警告。

當時，數據泄露獵人Bob Diachenko警告稱，那個時候在線可用的約3000個SonarQube實例中有30%到40%沒有啟用密碼或身份驗證機制。

今年，瑞士安全研究員Till Kottmann也提出了SonarQube實例配置不當的同樣問題。據悉，Kottmann在一年的時間中通過一個公共門戶網站收集了

為了防止這樣的泄露，FBI的警告列出了公司可以采取的一系列保護措施，首先是改變應用的默認配置和憑證，然后使用防火墻來防止未經授權的用戶對應用進行未經授權的訪問。

（消息來源：cnBeta；封面來自于網絡）

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關注數據與安全，洞悉企業(yè)級服務市場：https://www.ijiandao.com/