SonarQube是一款开源静态代码质量分析管理工具,在默认配置的情况下,缺少对API 接口的访问权限控制,攻击者可利用该漏洞在未授权的情况下,通过访问api/settings/values接口从而获取到 SMTP、SVN、GitLab 凭据,进一步获取源代码数据仓库中的源代码,造成项目源代码泄露。同时还可以对使用默认账号密码的用户进行攻击,系统安装完成后,默认弱口令为admin/admin,攻击者通过输入默认账号密码,同样可以获得敏感配置信息,从而进一步窃取企业源代码。
1#影响版本
SonarQube <8.6
2#危害情况
境外某论坛有黑客利用SonarQube漏洞,窃取大量源码,并在论坛上公然兜售泄露代码,其中涉及我国数十家重要企业单位的应用代码,其行为极为恶劣。
监测到论坛售卖源码的部分截图:
借助网络空间测绘引擎Quake分析发现,SonarQube全球部署量比较多的国家分别是美国、德国、爱尔兰和中国,分别占据全球安装部署总量的 44%、9%、8%、7%、4%。在国内安装部署量较多的是北京、上海、浙江、广东,分别占到了总部署量的27%、19%、14%、14%。从测绘统计的结果来看,中国境内部署着大量SonarQube组件,在全球也属前列,而国内的北京、上海、浙江、广东,是国内信息化最发达的几个省市,我国的很多重要的信息化产品均是在这几个省市中研发而来,此漏洞的爆发被泄露了众多技术源代码,严重威胁着我国公民的生产、生活安全、数据资产安全,我国是此次漏洞影响的重灾区。
3#修复措施
- 尽快通过参考链接中官网地址升级到最新版本。
- 配置开启认证功能,构建双因素认证。
- 排查并禁止使用默认端口(9000),禁止默认账号及密码。
- 构建受限的VPN安全网络环境。
- 构建受限地理区域访问控制。
- 若非必要,关停互联网的访问权限。
- 加强流量异常监测和网络安全防范。
- 特别提醒,不要松懈、加强内网、专网的安全防范,攻击和入侵无孔不入,防不胜防。
- 同时建议您使用360相关安全产品及服务,为您保驾护航。
发表评论