FBI近日发布安全警报称,黑客正在滥用配置错误的SonarQube应用程序访问和窃取美国政府机构和私人公司的源代码库。FBI在警报中特别警告了SonarQube所有者。SonarQube是一个用于管理源代码质量的平台,可帮助开发人员编写干净的代码。其支持的语言包括:Python、Java、PHP、C#、C、Cobol、PL/SQL、Flex。SonarQube应用程序安装在Web服务器上,并连接到源代码托管系统,例如BitBucket、GitHub、GitLab帐户或AzureDevOps系统。警报内容指出,此类攻击从今年4月就开始了;除了美国众多政府机构外,受影响的企业还包括科技、金融、零售、食品、电子商务和制造等领域的私营企业。黑客利用已知的SonarQube配置漏洞来访问存储在SonarQube中的私有程序代码并将其公开。在最初的攻击阶段,黑客首先使用默认端口(9000)和可公开访问的IP地址扫描互联网,寻找暴露在开放互联网上的SonarQube实例。然后,尝试使用默认管理员凭据(用户名:admin,密码:admin)访问SonarQube实例。目前,FBI已经发现多起潜在的计算机入侵事件,均与SonarQube配置漏洞相关的泄漏事件有关。正如ZDNet所指出的那样,FBI警报触及了软件开发人员和安全研究人员之间鲜为人知的问题。虽然网络安全行业经常警告MongoDB或Elasticsearch数据库在没有密码的情况下在线暴露的危险,但SonarQube却从裂缝中溜走了。事实上,早在2018年5月,一些安全研究人员就已经警告过将SonarQube应用程序在线暴露给默认证书的危险。当时,数据泄露猎手BobDiachenko警告说,在当时在线可用的大约3,000个SonarQube实例中,大约30%到40%没有启用密码或身份验证机制。今年,一位名叫蒂尔·科特曼(TillKottmann)的瑞士安全研究员提出了同样的问题,即配置错误的SonarQube实例。科特曼透露,这一年来,他在一个公共门户网站上收集了数十家科技公司的源代码,其中包括微软、Adobe、AMD,以及台湾的联发科,其中很多数据都来自SonarQube应用。为了防止此类违规行为继续发生,FBI在警报中列出了一系列缓解措施,包括:更改SonarQube的默认设置,包括更改默认的管理员用户名、密码和端口(9000)。将SonarQube实例放在登录窗口后面,检查是否有任何未经授权的用户正在访问该实例。如果适用,撤销存储在公共SonarQube实例中的所有各种API密钥和凭证。在组织的防火墙和其他外围防御措施后面配置SonarQube实例,以防止未经身份验证的访问。
