FBI紧急警告:黑客利用开源SonarQube实例窃取政府和企业源代码

本文主要是介绍FBI紧急警告:黑客利用开源SonarQube实例窃取政府和企业源代码,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

 聚焦源代码安全,网罗国内外最新资讯!

编译:奇安信代码卫士团队

美国联邦调查局 (FBI) 发布紧急警告称,黑客正在通过暴露在互联网且不安全的 SonarQube 实例中窃取美国政府和企业的信息。

SonarQube 是一款开源的自动化代码质量审计和静态分析平台,用于发现项目中的bug 和安全漏洞,支持27种语言。

自2020年4月起,易受攻击的 SonarQube 服务器就被用于获取、提取并公开泄漏政府和企业实体的数据源代码仓库的访问权限。

数十家企业的源代码已遭泄漏

FBI 指出已识别出多起类似事件,从攻击发动时起,攻击者就已在滥用 SonarQube 配置漏洞。

FBI 在警告中指出,“从2020年4月开始,FBI 就发现了和不安全的 SonarQube 实例相关的源代码泄漏事件,这些源代码来自政府和企业,遍布技术、金融、零售、视频、电子商务和制造行业。”

即使 FBI 并未对外公开这些攻击活动,但 BleepingComputer 已在7月报道称数十家企业的源代码被盗且遭泄漏。

开发兼逆向工程师 Tillie Kottmann 收集并在一个 GitHub 公开库中发布了超过50家公司的被泄漏代码,包括微软、Adobe、联想、AMD、高通、摩托罗拉、华为海思、联发科、美国通用电气、Nintendo、Roblox和迪斯尼等。

当时,Kottmann 表示,数千家企业因未能正确地保护 SonarQube 安装程序,而导致自身的专有源代码遭泄漏。

8月份,Kottmann 从一个据悉之前攻击 Intel 服务器的匿名人士处获得大约20GB 大小的机密信息并公开。Intel 公司随后表示,“信息似乎源自 Intel 公司的资源和设计中心,该中心托管的信息为客户、合作伙伴和其他已注册访问权限的人群服务。“

之前的攻击活动和缓解措施

攻击者首先会通过默认端口号(9000)扫描暴露在互联网上的 SonarQube  实例。发现遭暴露的服务器后,尝试使用默认的 admin/admin 凭据访问易受攻击的实例。虽然并未给出任何受影响的实体名称,FBI在紧急警告信息中提到了两起事件,其中一起由已识别出的攻击者开展,另外一起的攻击者身份尚不知晓。

  • 2020年7月,一个已被识别出的攻击者通过保护不力的 SonarQube 实例从企业提取专有源代码并在自托管的公开库上发布了已提取的源代码。

  • 2020年8月,未知的威胁行动者通过一个公开的生命周期仓库工具泄漏了两家组织机构的内部数据。被盗数据源自多个 SonarQube 实例。这些实例使用了受影响的在组织机构网络上运行的默认端口设置和 admin 凭据。

FBI 提供的缓解措施如下:

  • 更改 SonarQube 的默认设置,包括更改默认的管理员用户名、密码和端口 (9000).

  • 在登录屏幕之后放置 SonarQube 实例,并检查未授权用户是否能够访问实例。

  • 在可行的情况下,撤销对 SonarQube 实例中公开的任何应用程序编程接口蜜钥或其它凭据的访问。

  • 配置 SonarQube 实例,通过防火墙和其它外围防御程序进行保护,防止未经身份验证的访问。

推荐阅读

Windows XP、Windows Server 2003 等微软操作系统的源代码被指遭泄露

流拍后,Cerberus 银行木马源代码在黑市免费公开

Intel 的20G 源代码和内部机密文档被泄漏

Waydev 客户的GitHub 和 GitLab OAuth 令牌被盗,源代码遭访问

原文链接

https://www.bleepingcomputer.com/news/security/massive-nitro-data-breach-impacts-microsoft-google-apple-more

题图:Pixabay License

本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

    觉得不错,就点个 “在看” 吧~

这篇关于FBI紧急警告:黑客利用开源SonarQube实例窃取政府和企业源代码的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/597267

相关文章

Hadoop企业开发案例调优场景

需求 (1)需求:从1G数据中,统计每个单词出现次数。服务器3台,每台配置4G内存,4核CPU,4线程。 (2)需求分析: 1G / 128m = 8个MapTask;1个ReduceTask;1个mrAppMaster 平均每个节点运行10个 / 3台 ≈ 3个任务(4    3    3) HDFS参数调优 (1)修改:hadoop-env.sh export HDFS_NAMENOD

阿里开源语音识别SenseVoiceWindows环境部署

SenseVoice介绍 SenseVoice 专注于高精度多语言语音识别、情感辨识和音频事件检测多语言识别: 采用超过 40 万小时数据训练,支持超过 50 种语言,识别效果上优于 Whisper 模型。富文本识别:具备优秀的情感识别,能够在测试数据上达到和超过目前最佳情感识别模型的效果。支持声音事件检测能力,支持音乐、掌声、笑声、哭声、咳嗽、喷嚏等多种常见人机交互事件进行检测。高效推

【机器学习】高斯过程的基本概念和应用领域以及在python中的实例

引言 高斯过程(Gaussian Process,简称GP)是一种概率模型,用于描述一组随机变量的联合概率分布,其中任何一个有限维度的子集都具有高斯分布 文章目录 引言一、高斯过程1.1 基本定义1.1.1 随机过程1.1.2 高斯分布 1.2 高斯过程的特性1.2.1 联合高斯性1.2.2 均值函数1.2.3 协方差函数(或核函数) 1.3 核函数1.4 高斯过程回归(Gauss

金融业开源技术 术语

金融业开源技术  术语 1  范围 本文件界定了金融业开源技术的常用术语。 本文件适用于金融业中涉及开源技术的相关标准及规范性文件制定和信息沟通等活动。

安全管理体系化的智慧油站开源了。

AI视频监控平台简介 AI视频监控平台是一款功能强大且简单易用的实时算法视频监控系统。它的愿景是最底层打通各大芯片厂商相互间的壁垒,省去繁琐重复的适配流程,实现芯片、算法、应用的全流程组合,从而大大减少企业级应用约95%的开发成本。用户只需在界面上进行简单的操作,就可以实现全视频的接入及布控。摄像头管理模块用于多种终端设备、智能设备的接入及管理。平台支持包括摄像头等终端感知设备接入,为整个平台提

SWAP作物生长模型安装教程、数据制备、敏感性分析、气候变化影响、R模型敏感性分析与贝叶斯优化、Fortran源代码分析、气候数据降尺度与变化影响分析

查看原文>>>全流程SWAP农业模型数据制备、敏感性分析及气候变化影响实践技术应用 SWAP模型是由荷兰瓦赫宁根大学开发的先进农作物模型,它综合考虑了土壤-水分-大气以及植被间的相互作用;是一种描述作物生长过程的一种机理性作物生长模型。它不但运用Richard方程,使其能够精确的模拟土壤中水分的运动,而且耦合了WOFOST作物模型使作物的生长描述更为科学。 本文让更多的科研人员和农业工作者

K8S(Kubernetes)开源的容器编排平台安装步骤详解

K8S(Kubernetes)是一个开源的容器编排平台,用于自动化部署、扩展和管理容器化应用程序。以下是K8S容器编排平台的安装步骤、使用方式及特点的概述: 安装步骤: 安装Docker:K8S需要基于Docker来运行容器化应用程序。首先要在所有节点上安装Docker引擎。 安装Kubernetes Master:在集群中选择一台主机作为Master节点,安装K8S的控制平面组件,如AP

C++操作符重载实例(独立函数)

C++操作符重载实例,我们把坐标值CVector的加法进行重载,计算c3=c1+c2时,也就是计算x3=x1+x2,y3=y1+y2,今天我们以独立函数的方式重载操作符+(加号),以下是C++代码: c1802.cpp源代码: D:\YcjWork\CppTour>vim c1802.cpp #include <iostream>using namespace std;/*** 以独立函数

实例:如何统计当前主机的连接状态和连接数

统计当前主机的连接状态和连接数 在 Linux 中,可使用 ss 命令来查看主机的网络连接状态。以下是统计当前主机连接状态和连接主机数量的具体操作。 1. 统计当前主机的连接状态 使用 ss 命令结合 grep、cut、sort 和 uniq 命令来统计当前主机的 TCP 连接状态。 ss -nta | grep -v '^State' | cut -d " " -f 1 | sort |

MiniGPT-3D, 首个高效的3D点云大语言模型,仅需一张RTX3090显卡,训练一天时间,已开源

项目主页:https://tangyuan96.github.io/minigpt_3d_project_page/ 代码:https://github.com/TangYuan96/MiniGPT-3D 论文:https://arxiv.org/pdf/2405.01413 MiniGPT-3D在多个任务上取得了SoTA,被ACM MM2024接收,只拥有47.8M的可训练参数,在一张RTX