SonarQube漏洞导致大量源码泄露

0#漏洞简介
SonarQube是一款开源静态代码质量分析管理工具,在默认配置的情况下,缺少对API 接口的访问权限控制,攻击者可利用该漏洞在未授权的情况下,通过访问api/settings/values接口从而获取到 SMTP、SVN、GitLab 凭据,进一步获取源代码数据仓库中的源代码,造成项目源代码泄露。同时还可以对使用默认账号密码的用户进行攻击,系统安装完成后,默认弱口令为admin/admin,攻击者通过输入默认账号密码,同样可以获得敏感配置信息,从而进一步窃取企业源代码。

1#影响版本
SonarQube <8.6

2#危害情况
境外某论坛有黑客利用SonarQube漏洞,窃取大量源码,并在论坛上公然兜售泄露代码,其中涉及我国数十家重要企业单位的应用代码,其行为极为恶劣。
监测到论坛售卖源码的部分截图:


借助网络空间测绘引擎Quake分析发现,SonarQube全球部署量比较多的国家分别是美国、德国、爱尔兰和中国,分别占据全球安装部署总量的  44%、9%、8%、7%、4%。在国内安装部署量较多的是北京、上海、浙江、广东,分别占到了总部署量的27%、19%、14%、14%。从测绘统计的结果来看,中国境内部署着大量SonarQube组件,在全球也属前列,而国内的北京、上海、浙江、广东,是国内信息化最发达的几个省市,我国的很多重要的信息化产品均是在这几个省市中研发而来,此漏洞的爆发被泄露了众多技术源代码,严重威胁着我国公民的生产、生活安全、数据资产安全,我国是此次漏洞影响的重灾区。

3#修复措施
  • 尽快通过参考链接中官网地址升级到最新版本。
  • 配置开启认证功能,构建双因素认证。
  • 排查并禁止使用默认端口(9000),禁止默认账号及密码。
  • 构建受限的VPN安全网络环境。
  • 构建受限地理区域访问控制。
  • 若非必要,关停互联网的访问权限。
  • 加强流量异常监测和网络安全防范。
  • 特别提醒,不要松懈、加强内网、专网的安全防范,攻击和入侵无孔不入,防不胜防。
  • 同时建议您使用360相关安全产品及服务,为您保驾护航。
注:本文主要转载自360漏洞云,点击了解更多:https://mp.weixin.qq.com/s/2YOekeESvjI8Dib4OvdT5g
本博客所有文章如无特别注明均为原创。作者:渊龙Sec团队复制或转载请以超链接形式注明转自 渊龙Sec安全团队博客
原文地址《SonarQube漏洞导致大量源码泄露
分享到:更多

相关推荐

发表评论

路人甲 表情
看不清楚?点图切换 Ctrl+Enter快速提交

网友评论(0)