FBI 发出一个会窃取美政府机构及私人企业源代码的安全警告

据外媒报道，日前，FBI发出了一个安全警报，其警告威胁行为者正在滥用配置错误的SonarQube应用以访问并窃取美国政府机构和私人企业的源代码库。该机构在上个月发出并于本周在其网站上公布的一份警告中指出，这种类型的攻击事件至少从2020年4月就已经开始了。

该警报特别警告SonarQube的所有者。SonarQube是一个基于web的应用，各家公司将其集成到自己的软件构建链中以便在将代码和应用推出到生产环境之前测试源代码并发现安全缺陷。

SonarQube应用被安装在web服务器上并连接到源代码托管系统如BitBucket、GitHub、GitLab accounts或Azure DevOps systems。

但FBI表示，一些公司没有保护这些系统，它们使用的是默认的管理凭证(admin/admin)并在默认配置（端口9000）上运行。

FBI官员称，威胁者滥用这些错误配置来访问SonarQube具体目标并将其转移到连接的源代码库，然后访问和窃取私有/敏感的应用。

FBI的警告触及了一个软件开发人员和安全研究人员很少知道的问题。

网络安全行业经常就MongoDB或Elasticsearch数据库在没有密码的情况下暴露在网上的危险发出警告，但SonarQube却没有受到影响。然而一些安全研究人员早在2018年5月就已经就让SonarQube应用在网上暴露默认证书的危险发出过警告。

当时，数据泄露猎人Bob Diachenko警告称，那个时候在线可用的约3000个SonarQube实例中有30%到40%没有启用密码或身份验证机制。

http://hackernews.cc/wp-content/uploads/2020/11/1-2.png

今年，瑞士安全研究员Till Kottmann也提出了SonarQube实例配置不当的同样问题。据悉，Kottmann在一年的时间中通过一个公共门户网站收集了

http://hackernews.cc/wp-content/uploads/2020/11/2-2.png

为了防止这样的泄露，FBI的警告列出了公司可以采取的一系列保护措施，首先是改变应用的默认配置和凭证，然后使用防火墙来防止未经授权的用户对应用进行未经授权的访问。

（消息来源：cnBeta；封面来自于网络）