美国联邦调查局(FBI)于本月中发布了紧急警报(Flash Alert),指出已有黑客锁定配置错误的SonarQube实例,来访问属于美国政府机构与私人企业的源码。
SonarQube为一开源的程序代码品质管理系统,它能通过程序代码的静态分析,以自动检查超过20种程序语言所撰写程序代码的bug、程序代码异味与安全漏洞。
FBI指出,黑客从今年4月起就积极地锁定SonarQube展开攻击,他们开采已知的SonarQube配置漏洞,以访问SonarQube所存放的私有程序代码,还将它们公诸于世。
相关攻击的受害者除了美国的许多政府机构之外,也包括科技、金融、零售、食品、电子商务与制造等领域的私人企业。而在今年8月,黑客利用公开的生命周期存储库工具公布了两家组织的内部资料,而这些资料即是来自于SonarQube实例,这些实例采用默认的连接端口设置与管理凭证。
根据调查,黑客先是扫描了暴露于公开网络上的SonarQube实例,它们采用默认的9000传输端口,也具备一个可公开访问的IP地址,之后再利用默认的管理凭证(用户名为admin,密码也是admin)来企图访问这些实例。
相关攻击其实很容易防范,管理人员只要遵从基本的安全守则就能避免遭到入侵,例如变更SonarQube的默认凭证与传输端口;把SonarQube实例放置在登录窗口之后,检查是否有未经授权的用户访问实例。而不确定是否曾遭黑客访问的组织,则应该撤销所有存放在公开SonarQube实例中的各种API密钥与凭证,并在SonarQube实例之前建筑防火墙。
FBI指出,有关SonarQube实例因配置错误而使得程序代码外泄的情况,类似今年7月的事件。当时一名瑞士开发人员Tillie Kottmann对外披露他已访问超过50家知名企业的源码,从微软、Adobe、Amd到台湾的联发科,原因也是来自于这些企业所使用的DevOps应用程序配置不当。