الأخبار

مكتب التحقيقات الفيدرالي: قراصنة سرقوا شفرة المصدر من الوكالات الحكومية الأمريكية والشركات الخاصة

 

FBI: Hackers stole source code from US government agencies and private companies

 
أرسل مكتب التحقيقات الفيدرالي تنبيهًا أمنيًا محذرًا من أن الجهات فاعلة التهديد تسيء استخدام تطبيقات SonarQube التي تم تكوينها بشكل خاطئ للوصول إلى مستودعات رمز المصدر من الوكالات الحكومية والشركات الخاصة الأمريكية وسرقتها.

قال مكتب التحقيقات الفيدرالي FBI في تنبيه أرسل الشهر الماضي وتم نشره هذا الأسبوع على موقعه على الإنترنت إن عمليات الاقتحام حدثت منذ أبريل 2020 على الأقل.

يحذر التنبيه على وجه التحديد مالكي SonarQube، وهو تطبيق قائم على الويب تدمج الشركات في سلاسل بناء البرامج الخاصة بهم لاختبار كود المصدر واكتشاف العيوب الأمنية قبل طرح التعليمات البرمجية والتطبيقات في بيئات الإنتاج.

يتم تثبيت تطبيقات SonarQube على خوادم الويب ومتصلة بأنظمة استضافة التعليمات البرمجية المصدر مثل حسابات BitBucket أو GitHub أو GitLab أو أنظمة Azure DevOps.

لكن مكتب التحقيقات الفيدرالي يقول إن بعض الشركات تركت هذه الأنظمة غير محمية، وتعمل على التكوين الافتراضي (على المنفذ 9000) مع بيانات اعتماد المسئول الافتراضية (المسئول / المشرف).

يقول مسئولو مكتب التحقيقات الفدرالي إن الجهات المهددة قد أساءت استخدام هذه التكوينات الخاطئة للوصول إلى مثيلات SonarQube، والتحول إلى مستودعات كود المصدر المتصلة، ثم الوصول إلى التطبيقات الخاصة أوالحساسة وسرقتها.

قدم المسئولون مثالين على حوادث سابقة:
"في أغسطس 2020، سرب ممثلو التهديدات غير المعروفين بيانات داخلية من مؤسستين من خلال أداة مستودع دورة الحياة العامة. تم الحصول على البيانات المسروقة من مثيلات SonarQube التي استخدمت إعدادات المنفذ الافتراضية وبيانات اعتماد المسئول التي تعمل على شبكات المؤسسات المتأثرة.

"هذا النشاط مشابه لتسرب بيانات سابق في يوليو 2020، حيث قام ممثل إلكتروني تم تحديده بسحب رمز مصدر خاص من المؤسسات من خلال مثيلات SonarQube المؤمنة بشكل سيئ ونشر كود المصدر المسروق في مستودع عام مستضاف ذاتيًا."

يتطرق تنبيه مكتب التحقيقات الفيدرالي إلى مشكلة غير معروفة بين مطوري البرمجيات والباحثين الأمنيين.

بينما حذرت صناعة الأمن السيبراني في كثير من الأحيان من مخاطر ترك قواعد بيانات MongoDB أو Elasticsearch مكشوفة عبر الإنترنت بدون كلمات مرور، إلا أن SonarQube قد تخطى الثغرات.

ومع ذلك، فقد حذر بعض الباحثين الأمنيين من مخاطر ترك تطبيقات SonarQube مكشوفة عبر الإنترنت ببيانات اعتماد افتراضية منذ مايو 2018.

في ذلك الوقت، حذر صائد خرق البيانات Bob Diachenko من أن حوالي 30% إلى 40% من جميع حالات SonarQube البالغ عددها 3000 تقريبًا والمتاحة عبر الإنترنت في ذلك الوقت لم يتم تمكين كلمة المرور أو آلية المصادقة عليها. 

 

 

هذا العام، أثار باحث أمني سويسري يُدعى Till Kottmann نفس المشكلة المتعلقة بحالات SonarQube التي تم تكوينها بشكل خاطئ. على مدار العام، جمع Kottmann شفرة مصدر من عشرات شركات التكنولوجيا في بوابة عامة، وجاء العديد منها من تطبيقات SonarQube. قال Kottmann لـ ZDNet: "يبدو أن معظم الأشخاص لا يغيرون أيًا من الإعدادات على الإطلاق، والتي تم شرحها بشكل صحيح في دليل الإعداد من SonarQube". "لا أعرف العدد الحالي لمثيلات SonarQube المكشوفة، لكنني أشك في أنها تغيرت كثيرًا. أعتقد أنه لا يزال أكثر من 1000 خادم (مفهرسة بواسطة Shodan)" معرضة للخطر "إما من خلال عدم طلب المصادقة أو ترك الأمان الافتراضي، ".

 

 

لمنع مثل هذه التسريبات، يسرد تنبيه مكتب التحقيقات الفيدرالي سلسلة من الخطوات التي يمكن للشركات اتخاذها لحماية خوادم SonarQube، بدءًا من تعديل التكوين الافتراضي للتطبيق وبيانات الاعتماد ثم استخدام جدران الحماية لمنع الوصول غير المصرح به إلى التطبيق من المستخدمين غير المصرح لهم.