聲明：該文章由作者（婭米）發(fā)表，轉(zhuǎn)載此文章須經(jīng)作者同意并請附上出處(0XUCN)及本頁鏈接。。

聯(lián)邦調(diào)查局發(fā)出安全警報：黑客正在濫用配置錯誤的SonarQube應(yīng)用程序訪問并竊取美國政府機構(gòu)和企業(yè)的源代碼存儲庫。

聯(lián)邦調(diào)查局表示，黑客最早從2020年4月開始進行網(wǎng)絡(luò)攻擊活動， 于本周在網(wǎng)站上公開。該警報特別提醒基于Web的應(yīng)用程序SonarQube的所有者：供應(yīng)商已將其集成到軟件構(gòu)建鏈中，測試源代碼并發(fā)現(xiàn)安全漏洞，然后再將代碼和應(yīng)用程序推廣到生產(chǎn)環(huán)境中。SonarQube應(yīng)用程序安裝在Web服務(wù)器上，并連接到源代碼托管系統(tǒng)，例如BitBucket、GitHub或GitLab帳戶、Azure DevOps系統(tǒng)。

聯(lián)邦調(diào)查局表示：未使用默認管理員憑據(jù)（admin / admin）以其默認配置（在端口9000上）運行系統(tǒng)的單位不受保護。

黑客濫用了錯誤配置來訪問SonarQube，轉(zhuǎn)到連接的源代碼存儲庫，進而訪問和竊取專有應(yīng)用程序的數(shù)據(jù)。

“ 2020年8月，未知黑客通過公共生命周期存儲庫工具從兩個組織竊取了內(nèi)部數(shù)據(jù)。被盜數(shù)據(jù)來自使用了受影響組織網(wǎng)絡(luò)上運行的默認端口設(shè)置和管理員憑據(jù)的SonarQube?！?/em>

“該網(wǎng)絡(luò)攻擊活動與2020年7月的一次數(shù)據(jù)泄漏事件相似，一個已知黑客通過安全性較差的SonarQube竊取并發(fā)布了被攻擊企業(yè)的專有源代碼?！?/em>

2018年5月以來，安全研究人員就警告將SonarQube應(yīng)用程序在線暴露給默認憑據(jù)存在高度安全隱患。

鮑勃·迪亞琴科（Bob Diachenko）表示：當時在線可用的所有3000個SonarQube實例中，大約30％至40％沒有啟用密碼或身份驗證機制。

瑞士安全研究人員Till Kottmann也提出了相同問題。Kottmann在公共門戶網(wǎng)站上收集了數(shù)十家科技公司的源代碼，其中許多來自SonarQube應(yīng)用程序。Kottmann告訴ZDNet：?“大多數(shù)人似乎都不會更改相關(guān)設(shè)置，但SonarQube的安裝指南有詳細解釋?！?/p>

FBI發(fā)布了保護SonarQube服務(wù)器的相關(guān)措施：首先是更改應(yīng)用程序的默認配置和憑據(jù)；然后使用防火墻防止未經(jīng)授權(quán)的用戶訪問該應(yīng)用程序。

消息及封面來源：ZDNet；譯者：小江。

本文由?HackerNews.cc?翻譯整理。