FBI：黑客从美国政府机构和企业窃取了源代码

联邦调查局发出安全警报：黑客正在滥用配置错误的SonarQube应用程序访问并窃取美国政府机构和企业的源代码存储库。

联邦调查局表示，黑客最早从2020年4月开始进行网络攻击活动， 于本周在网站上公开。该警报特别提醒基于Web的应用程序SonarQube的所有者：供应商已将其集成到软件构建链中，测试源代码并发现安全漏洞，然后再将代码和应用程序推广到生产环境中。SonarQube应用程序安装在Web服务器上，并连接到源代码托管系统，例如BitBucket、GitHub或GitLab帐户、Azure DevOps系统。

联邦调查局表示：未使用默认管理员凭据（admin / admin）以其默认配置（在端口9000上）运行系统的单位不受保护。

黑客滥用了错误配置来访问SonarQube，转到连接的源代码存储库，进而访问和窃取专有应用程序的数据。

“ 2020年8月，未知黑客通过公共生命周期存储库工具从两个组织窃取了内部数据。被盗数据来自使用了受影响组织网络上运行的默认端口设置和管理员凭据的SonarQube。”

“该网络攻击活动与2020年7月的一次数据泄漏事件相似，一个已知黑客通过安全性较差的SonarQube窃取并发布了被攻击企业的专有源代码。”

2018年5月以来，安全研究人员就警告将SonarQube应用程序在线暴露给默认凭据存在高度安全隐患。

鲍勃·迪亚琴科（Bob Diachenko）表示：当时在线可用的所有3000个SonarQube实例中，大约30％至40％没有启用密码或身份验证机制。

瑞士安全研究人员Till Kottmann也提出了相同问题。Kottmann在公共门户网站上收集了数十家科技公司的源代码，其中许多来自SonarQube应用程序。Kottmann告诉ZDNet： “大多数人似乎都不会更改相关设置，但SonarQube的安装指南有详细解释。”

FBI发布了保护SonarQube服务器的相关措施：首先是更改应用程序的默认配置和凭据；然后使用防火墙防止未经授权的用户访问该应用程序。

消息及封面来源：ZDNet；译者：小江。

本文由 HackerNews.cc 翻译整理。

转载请注明“转自 HackerNews.cc ” 并附上原文链接。