APP下载

FBI警告:骇客借由配置错误的SonarQube实例窃取-机构与私人企业的源代码

消息来源:baojiabao.com 作者: 发布时间:2024-03-29

报价宝综合消息FBI警告:骇客借由配置错误的SonarQube实例窃取-机构与私人企业的源代码

示意图,Photo by Chris Barbalis on unsplash

美国联邦调查局(FBI)于本月中发布了紧急警报(Flash Alert),指出已有骇客锁定配置错误的SonarQube实例,来存取属于美国-机构与私人企业的源代码。

SonarQube为一开源的程式码品质管理系统,它能透过程式码的静态分析,以自动检查逾20种程式语言所撰写程式码的臭虫、程式码异味与安全漏洞。

FBI指出,骇客从今年4月起就积极地锁定SonarQube展开攻击,他们开采已知的SonarQube配置漏洞,以存取SonarQube所存放的私有程式码,还将它们公诸于世。

相关攻击的受害者除了美国的许多-机构之外,也包括科技、金融、零售、食品、电子商务与制造等领域的私人企业。而在今年8月,骇客利用公开的生命周期储存库工具公布了两家组织的内部资料,而这些资料即是来自于SonarQube实例,这些实例采用预设的连结埠设定与管理凭证。

根据调查,骇客先是扫描了曝露于公开网络上的SonarQube实例,它们采用预设的9000传输埠,也具备一个可公开存取的IP地址,继之再利用预设的管理凭证(使用者名称为admin,密码也是admin)来企图存取这些实例。

相关攻击其实很容易防范,管理人员只要遵从基本的安全守则就能避免遭到入侵,例如变更SonarQube的预设凭证与传输埠;把SonarQube实例置放在登入视窗之后,检查是否有未经授权的使用者存取实例。而不确定是否曾遭骇客存取的组织,则应该撤销所有存放在公开SonarQube实例中的各种API金钥与凭证,并在SonarQube实例之前建筑防火墙。

FBI指出,有关SonarQube实例因配置错误而使得程式码外泄的情况,类似今年7月的事件。当时一名瑞士开发人员Tillie Kottmann对外揭露他已存取逾50家知名企业的源代码,从微软、Adobe、Amd到台湾的联发科,原因也是来自于这些业者所使用的DevOps应用程序配置不当。

2020-10-29 11:49:00

相关文章