FBI 於日前發布了一個安全警報稱,有黑客正在濫用配置錯誤的 SonarQube 應用程式,以訪問和竊取美國政府機構以及私營企業的原始碼庫。
FBI 在警報中特別警告了 SonarQube 的所有者。SonarQube 是一個用於管理源碼質量的平臺,幫助開發者編寫乾淨的代碼,其支持的語言包括:Python、Java、PHP、C#、C、Cobol、PL/SQL 與 Flex 等。SonarQube 應用被安裝在 web 伺服器上並連接到原始碼託管系統如 BitBucket、GitHub、GitLab accounts 或 Azure DevOps systems。
警報內容指出,此類攻擊事件從今年 4 月開始就已經開始了;受影響的除了有美國的許多政府機構之外,還包括科技、金融、零售、食品、電子商務與製造等領域的私人企業 。黑客通過開採已知的 SonarQube 配置漏洞,以訪問 SonarQube 所存放的私有程序代碼,並將它們公諸於世。
在初始攻擊階段,黑客先是使用默認埠(9000)和一個可公開訪問的 IP 地址在網際網路上掃描暴露在開放網際網路上的 SonarQube 實例。然後,再使用默認的管理員憑證(用戶名:admin,密碼:admin)試圖訪問 SonarQube 實例。目前,FBI 已經發現了多個潛在的計算機入侵行為,均與 SonarQube 配置漏洞相關的洩漏有關。
如 ZDNet 所述,FBI 的這一警報涉及到了軟體開發人員和安全研究人員中一個鮮為人知的問題。雖然網絡安全行業經常就 MongoDB 或 Elasticsearch 資料庫在沒有密碼的情況下暴露在網上的危險發出警告,但 SonarQube 卻成為了漏網之魚。
事實上,早在 2018 年 5 月,一些安全研究人員就已經針對讓 SonarQube 應用在網上暴露默認證書的危險性發出過警告。彼時,數據洩露獵人Bob Diachenko曾警告稱,當時在線上提供的所有約 3000 個 SonarQube 實例中,約有 30% 至 40% 沒有啟用密碼或認證機制。
今年,一位名叫 Till Kottmann 的瑞士安全研究人員也提出了同樣的問題,即配置錯誤的 SonarQube 實例。Kottmann 透露,在這一年的時間裡,他已經在一個公共門戶網站上收集了數十家科技公司的原始碼,包括有微軟、Adobe、Amd 以及臺灣的聯發科等,其中很多數據就來自於 SonarQube 應用。
為了防止繼續發生此類洩露事件,FBI 在警報中列出了一系列緩解措施,包括有:
安全警報:https://www.ic3.gov/Media/News/2020/201103-3.pdf