据ZDNet 2020年11月7日报道,联邦调查局已发出安全警报,警告威胁者正在滥用配置错误的SonarQube应用程序,以从美国政府机构和私营企业访问和窃取源代码存储库。
联邦调查局在上个月发出的警报中表示,至少从2020年4月入侵开始进行,并于本周在其网站上公开。
该警报特别警告SonarQube的所有者,SonarQube是一个基于Web的应用程序,公司已将其集成到其软件构建链中,以测试源代码并发现安全漏洞,然后再将代码和应用程序推广到生产环境中。
SonarQube应用程序安装在Web服务器上,并连接到源代码托管系统,例如BitBucket、GitHub或GitLab帐户或Azure DevOps系统。
联邦调查局官员说,威胁行动者滥用了这些错误配置来访问SonarQube实例,转到连接的源代码存储库,然后访问和窃取专有或私有/敏感应用程序。
尽管网络安全行业经常警告将MongoDB或Elasticsearch数据库暴露在网上而没有密码的危险,一些安全研究人员一直在警告将SonarQube应用程序在线暴露给默认凭据的危险。
为防止此类泄漏,FBI警报列出了公司可以采取的一系列步骤来保护其SonarQube服务器,首先是更改应用程序的默认配置和凭据,然后使用防火墙来防止未经授权的用户未经授权访问该应用程序。
