FBI发出一个会窃取美政府机构及私人企业源代码的安全警告

FBI发出一个会窃取美政府机构及私人企业源代码的安全警告据外媒报道,日前,FBI发出了一个安全警报,其警告威胁行为者正在滥用配置错误的SonarQube应用以访问并窃取美国政府机构和私人企业的源代码库

大家好,欢迎来到IT知识分享网。

据外媒报道,日前,FBI发出了一个安全警报,其警告威胁行为者正在滥用配置错误的SonarQube应用以访问并窃取美国政府机构和私人企业的源代码库。该机构在上个月发出并于本周在其网站上公布的一份警告中指出,这种类型的攻击事件至少从2020年4月就已经开始了。

该警报特别警告SonarQube的所有者。SonarQube是一个基于web的应用,各家公司将其集成到自己的软件构建链中以便在将代码和应用推出到生产环境之前测试源代码并发现安全缺陷。

SonarQube应用被安装在web服务器上并连接到源代码托管系统如BitBucket、GitHub、GitLab accounts或Azure DevOps systems。

但FBI表示,一些公司没有保护这些系统,它们使用的是默认的管理凭证(admin/admin)并在默认配置(端口9000)上运行。

FBI官员称,威胁者滥用这些错误配置来访问SonarQube具体目标并将其转移到连接的源代码库,然后访问和窃取私有/敏感的应用。

FBI的警告触及了一个软件开发人员和安全研究人员很少知道的问题。

网络安全行业经常就MongoDB或Elasticsearch数据库在没有密码的情况下暴露在网上的危险发出警告,但SonarQube却没有受到影响。然而一些安全研究人员早在2018年5月就已经就让SonarQube应用在网上暴露默认证书的危险发出过警告。

当时,数据泄露猎人Bob Diachenko警告称,那个时候在线可用的约3000个SonarQube实例中有30%到40%没有启用密码或身份验证机制。

FBI发出一个会窃取美政府机构及私人企业源代码的安全警告

今年,瑞士安全研究员Till Kottmann也提出了SonarQube实例配置不当的同样问题。据悉,Kottmann在一年的时间中通过一个公共门户网站收集了

FBI发出一个会窃取美政府机构及私人企业源代码的安全警告

为了防止这样的泄露,FBI的警告列出了公司可以采取的一系列保护措施,首先是改变应用的默认配置和凭证,然后使用防火墙来防止未经授权的用户对应用进行未经授权的访问。

免责声明:本站所有文章内容,图片,视频等均是来源于用户投稿和互联网及文摘转载整编而成,不代表本站观点,不承担相关法律责任。其著作权各归其原作者或其出版社所有。如发现本站有涉嫌抄袭侵权/违法违规的内容,侵犯到您的权益,请在线联系站长,一经查实,本站将立刻删除。 本文来自网络,若有侵权,请联系删除,如若转载,请注明出处:https://yundeesoft.com/49222.html

(0)

相关推荐

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

关注微信