1 2 3 4

【安全圈】FBI发出会窃取美政府机构及私人企业源代码的安全警

发布时间: 2022-09-11 19:08:04 来源:必定赢官网直播 作者:必定赢官网入口

  该警报特别警告SonarQube的所有者。SonarQube是一个基于web的应用,各家公司将其集成到自己的软件构建链中以便在将代码和应用推出到生产环境之前测试源代码并发现安全缺陷。

  但FBI表示,一些公司没有保护这些系统,它们使用的是默认的管理凭证(admin/admin)并在默认配置(端口9000)上运行。

  FBI官员称,威胁者滥用这些错误配置来访问SonarQube具体目标并将其转移到连接的源代码库,然后访问和窃取私有/敏感的应用。

  网络安全行业经常就MongoDB或Elasticsearch数据库在没有密码的情况下暴露在网上的危险发出警告,但SonarQube却没有受到影响。然而一些安全研究人员早在2018年5月就已经就让SonarQube应用在网上暴露默认证书的危险发出过警告。

  当时,数据泄露猎人Bob Diachenko警告称,那个时候在线个SonarQube实例中有30%到40%没有启用密码或身份验证机制。

  今年,瑞士安全研究员Till Kottmann也提出了SonarQube实例配置不当的同样问题。据悉,Kottmann在一年的时间中通过一个公共门户网站收集了

  为了防止这样的泄露,FBI的警告列出了公司可以采取的一系列保护措施,首先是改变应用的默认配置和凭证,然后使用防火墙来防止未经授权的用户对应用进行未经授权的访问。