أرسل مكتب التحقيقات الفيدرالي تنبيهًا أمنيًا محذرًا من أن الجهات فاعلة التهديد تسيء استخدام تطبيقات SonarQube التي تم تكوينها بشكل خاطئ للوصول إلى مستودعات رمز المصدر من الوكالات الحكومية والشركات الخاصة الأمريكية وسرقتها.
قال مكتب التحقيقات الفيدرالي FBI في تنبيه أرسل الشهر الماضي وتم نشره هذا الأسبوع على موقعه على الإنترنت إن عمليات الاقتحام حدثت منذ أبريل 2020 على الأقل.
يحذر التنبيه على وجه التحديد مالكي SonarQube، وهو تطبيق قائم على الويب تدمج الشركات في سلاسل بناء البرامج الخاصة بهم لاختبار كود المصدر واكتشاف العيوب الأمنية قبل طرح التعليمات البرمجية والتطبيقات في بيئات الإنتاج.
يتم تثبيت تطبيقات SonarQube على خوادم الويب ومتصلة بأنظمة استضافة التعليمات البرمجية المصدر مثل حسابات BitBucket أو GitHub أو GitLab أو أنظمة Azure DevOps.
لكن مكتب التحقيقات الفيدرالي يقول إن بعض الشركات تركت هذه الأنظمة غير محمية، وتعمل على التكوين الافتراضي (على المنفذ 9000) مع بيانات اعتماد المسئول الافتراضية (المسئول / المشرف).
يقول مسئولو مكتب التحقيقات الفدرالي إن الجهات المهددة قد أساءت استخدام هذه التكوينات الخاطئة للوصول إلى مثيلات SonarQube، والتحول إلى مستودعات كود المصدر المتصلة، ثم الوصول إلى التطبيقات الخاصة أوالحساسة وسرقتها.
قدم المسئولون مثالين على حوادث سابقة:
"في أغسطس 2020، سرب ممثلو التهديدات غير المعروفين بيانات داخلية من مؤسستين من خلال أداة مستودع دورة الحياة العامة. تم الحصول على البيانات المسروقة من مثيلات SonarQube التي استخدمت إعدادات المنفذ الافتراضية وبيانات اعتماد المسئول التي تعمل على شبكات المؤسسات المتأثرة.
"هذا النشاط مشابه لتسرب بيانات سابق في يوليو 2020، حيث قام ممثل إلكتروني تم تحديده بسحب رمز مصدر خاص من المؤسسات من خلال مثيلات SonarQube المؤمنة بشكل سيئ ونشر كود المصدر المسروق في مستودع عام مستضاف ذاتيًا."
يتطرق تنبيه مكتب التحقيقات الفيدرالي إلى مشكلة غير معروفة بين مطوري البرمجيات والباحثين الأمنيين.
بينما حذرت صناعة الأمن السيبراني في كثير من الأحيان من مخاطر ترك قواعد بيانات MongoDB أو Elasticsearch مكشوفة عبر الإنترنت بدون كلمات مرور، إلا أن SonarQube قد تخطى الثغرات.
ومع ذلك، فقد حذر بعض الباحثين الأمنيين من مخاطر ترك تطبيقات SonarQube مكشوفة عبر الإنترنت ببيانات اعتماد افتراضية منذ مايو 2018.
في ذلك الوقت، حذر صائد خرق البيانات Bob Diachenko من أن حوالي 30% إلى 40% من جميع حالات SonarQube البالغ عددها 3000 تقريبًا والمتاحة عبر الإنترنت في ذلك الوقت لم يتم تمكين كلمة المرور أو آلية المصادقة عليها.
After @zackwhittaker covered EE leak, I ran a couple of queries on Sonarqube. Shocked to see more than 3K+ instances available, with roughly 30-40% of them set without auth, and almost half of those containing source code with prod data. Big names involved, another area to cover. pic.twitter.com/tKBRLOYzq1
— Bob Diachenko (@MayhemDayOne) May 16, 2018
هذا العام، أثار باحث أمني سويسري يُدعى Till Kottmann نفس المشكلة المتعلقة بحالات SonarQube التي تم تكوينها بشكل خاطئ. على مدار العام، جمع Kottmann شفرة مصدر من عشرات شركات التكنولوجيا في بوابة عامة، وجاء العديد منها من تطبيقات SonarQube. قال Kottmann لـ ZDNet: "يبدو أن معظم الأشخاص لا يغيرون أيًا من الإعدادات على الإطلاق، والتي تم شرحها بشكل صحيح في دليل الإعداد من SonarQube". "لا أعرف العدد الحالي لمثيلات SonarQube المكشوفة، لكنني أشك في أنها تغيرت كثيرًا. أعتقد أنه لا يزال أكثر من 1000 خادم (مفهرسة بواسطة Shodan)" معرضة للخطر "إما من خلال عدم طلب المصادقة أو ترك الأمان الافتراضي، ".
The source code of @novasolutionsys has been published on a public repo.
— Bank Security (@Bank_Security) August 18, 2020
Among the contents there are the mobile application source codes of Mexican banks like:
- @Citibanamex
- @BancoSabadellMX
- @BanCoppel
The data was allegedly taken from a misconfigured SonarQube instance. pic.twitter.com/yn48OrtWFI
لمنع مثل هذه التسريبات، يسرد تنبيه مكتب التحقيقات الفيدرالي سلسلة من الخطوات التي يمكن للشركات اتخاذها لحماية خوادم SonarQube، بدءًا من تعديل التكوين الافتراضي للتطبيق وبيانات الاعتماد ثم استخدام جدران الحماية لمنع الوصول غير المصرح به إلى التطبيق من المستخدمين غير المصرح لهم.