示意圖,Photo by Chris Barbalis on unsplash

美國聯邦調查局(FBI)於本月中發布了緊急警報(Flash Alert),指出已有駭客鎖定配置錯誤的SonarQube實例,來存取屬於美國政府機構與私人企業的原始碼。

SonarQube為一開源的程式碼品質管理系統,它能透過程式碼的靜態分析,以自動檢查逾20種程式語言所撰寫程式碼的臭蟲、不良的程式(Code smell)與安全漏洞。

FBI指出,駭客從今年4月起就積極地鎖定SonarQube展開攻擊,他們開採已知的SonarQube配置漏洞,以存取SonarQube所存放的私有程式碼,還將它們公諸於世。

相關攻擊的受害者除了美國的許多政府機構之外,也包括科技、金融、零售、食品、電子商務與製造等領域的私人企業。而在今年8月,駭客利用公開的生命周期儲存庫工具公布了兩家組織的內部資料,而這些資料即是來自於SonarQube實例,這些實例採用預設的連結埠設定與管理憑證。

根據調查,駭客先是掃描了曝露於公開網路上的SonarQube實例,它們採用預設的9000傳輸埠,也具備一個可公開存取的IP位址,繼之再利用預設的管理憑證(使用者名稱為admin,密碼也是admin)來企圖存取這些實例。

相關攻擊其實很容易防範,管理人員只要遵從基本的安全守則就能避免遭到入侵,例如變更SonarQube的預設憑證與傳輸埠;把SonarQube實例置放在登入視窗之後,檢查是否有未經授權的使用者存取實例。而不確定是否曾遭駭客存取的組織,則應該撤銷所有存放在公開SonarQube實例中的各種API金鑰與憑證,並在SonarQube實例之前建築防火牆。

FBI指出,有關SonarQube實例因配置錯誤而使得程式碼外洩的情況,類似今年7月的事件。當時一名瑞士開發人員Tillie Kottmann對外揭露他已存取逾50家知名企業的原始碼,從微軟、Adobe、Amd到臺灣的聯發科,原因也是來自於這些業者所使用的DevOps應用程式配置不當。

熱門新聞


Advertisement