美国联邦调查局(FBI)发布闪电警报,警告黑客通过暴露在互联网上且不安全的SonarQube实例窃取美国政府机构和企业组织的数据。
SonarQube是一个开源平台,用于自动代码质量审计和静态分析,以发现使用27种编程语言的项目中的错误和安全漏洞。
自2020年4月以来,易受攻击的SonarQube服务器一直被攻击者积极利用,以获取政府和企业实体拥有的数据源代码存储库的访问权限,后来又将其渗透并公开泄露。
联邦调查局表示,自攻击开始以来,他们已经确认了几起此类事件,攻击者滥用了SonarQube配置漏洞。
从2020年4月开始,FBI观察到与不安全的SonarQube实例有关的源代码泄露,这些实例来自美国政府机构和美国私营公司,涉及科技、金融、零售、食品、电子商务和制造业,FBI在TLP:白色闪光警报中表示。
尽管联邦调查局没有指出此类攻击的公开报道,但BleepingComputer在7月份报告了数十家公司的源代码被盗并在网上泄露的事件。
开发人员和反向工程师Tillie Kottmann收集了50多家公司的泄露代码,并将其发布到GitLab公共存储库中,这些公司包括微软、Adobe、联想、AMD、高通、摩托罗拉、HiSilicon(华为所有)、联发科、GE电器、任天堂、Roblox、迪士尼等。
Kottmann说,目前有数以千计的公司因为未能正确保护他们的SonarQube安装而暴露了专有源代码。
Kottmann还在8月份泄露了大约20 GB的英特尔机密文件,此前他从一位匿名消息来源那里收到了这些文件,该消息来源早些时候涉嫌侵入了英特尔的服务器。
该公司后来告诉BedepingComputer,这些信息似乎来自英特尔资源与设计中心,该中心托管着信息,供我们的客户、合作伙伴和其他已注册访问的外部方使用。
FBI解释说,威胁行为者首先使用默认端口号(即9000)扫描暴露在互联网上的SonarQube实例,从而开始攻击。
发现暴露的服务器后,他们会尝试使用默认管理员/管理员凭据访问易受攻击的实例。
虽然没有点名,但FBI在闪电警报中强调了两起这样的事件,一起是由一名确认身份的演员实施的,另一起袭击者仍不清楚:
·2020年7月,一名身份明确的网络参与者通过安全性不佳的SonarQube实例从企业中渗出了专有源代码,并将渗出的源代码发布在一个自托管的公共存储库上。
·2020年8月,不明威胁行为者通过公共生命周期存储库工具泄露了两个组织的内部数据。被盗数据来自SonarQube实例,这些实例使用在受影响组织的网络上运行的默认端口设置和管理员凭据。
·更改SonarQube默认设置,包括更改默认管理员用户名、密码和端口(9000)。·将SonarQube实例放在登录屏幕后面,检查是否有未经授权的用户访问该实例。·如果可行,撤销对SonarQube实例中公开的任何应用程序编程接口键或其他凭据的访问权限。·将SonarQube实例配置为位于您组织的防火墙和其他外围防御之后,以防止未经身份验证的访问。