警告:攻击者利用 SonarQube 漏洞盗取国内多个机构的大量源码!
作者 |KubeSphere云原生来源 |https://mp.weixin.qq.com/s/6dg51fKgLjSQTjmyFWl4DA2021 年 10 月 22 日,国外知名媒...
作者 | KubeSphere云原生
来源 | https://mp.weixin.qq.com/s/6dg51fKgLjSQTjmyFWl4DA
2021 年 10 月 22 日,国外知名媒体 cybernews[1] 发文称,有未知攻击者攻击并渗透了博世 iSite 的服务器,并盗取了这家制造业巨头的 5G 物联网连接平台的源代码。
攻击者声称通过利用 SonarQube 的零日漏洞获取了这些源代码,并提供了详细的入侵过程截图和盗取到的源代码文件截图。
遭殃的不止是这一家公司,攻击者 25 号声称梅赛德斯-奔驰中国部门的部分源代码也被他们窃取了。
26 号,攻击者又拿到了中国公安系统的医疗平台、保险和人事的 SRC 源码。
目前攻击是否还在继续,我们无法得知,目前已知的就是攻击者利用了 SonarQube 的零日漏洞进行入侵,而且攻击的都是我国的机构和企业。
目前该漏洞 (CNVD-2021-84502) 已被收录进了国家信息安全漏洞共享平台 (CNVD)[2],并公开了漏洞细节。如果您正在学习Spring Cloud,推荐一个连载多年还在继续更新的免费教程:https://blog.didispace.com/spring-cloud-learning/
漏洞详情
SonarQube 是一种主流的代码质量持续检测工具,可以集成不同的测试工具、代码分析工具以及持续集成工具。通过不同的插件对分析结果进行再加工处理,通过量化的方式度量代码质量的变化,并将结果展现到 SnoarQube 可视化界面。
SonarQube 系统存在未授权访问漏洞,缺少对 API 接口访问的鉴权控制。该漏洞是由于 SnoarQube 系统配置不当,导致平台项目暴露在公网当中,攻击者利用该漏洞在未授权的情况下访问公网 API 接口,使用系统默认配置口令进入平台,下载源代码文件,获取系统敏感信息。另外,如果您正在学习Spring Cloud,推荐一个连载多年还在继续更新的免费教程:https://blog.didispace.com/spring-cloud-learning/
CNVD 将该漏洞的危害级别评为“高危”!
由此可见,大家的应用和服务最好不要暴露到公网,假设某个软件有漏洞,你就会成为攻击者的靶子。
漏洞影响范围
该漏洞影响的 SnoarQube 版本包括:
SnoarQube 开源版 <= 9.1.0.47736
SonarQube 稳定版 <= 8.9.3
处理建议
KubeSphere 用户请注意,如果您已将 SonarQube 集成到 KubeSphere 流水线中,您可以直接在 Console 界面上查看常见的代码问题。
我们强烈建议您不要将 KubeSphere 的 Console 界面和 SonarQube 的控制台暴露到公网中,以免给了攻击者可乘之机。
建议大家关注 SonarQube 官方通告,目前 KubeSphere 社区也正在实时跟踪相关动态,并新建了相关 issue[3] 来探讨版本升级的事项,大家可以通过 issue 关注我们的更新进度。
引用链接
[1]cybernews: https://cybernews.com/news/threat-actors-leak-bosch-isite-platform-source-code/
[2]国家信息安全漏洞共享平台 (CNVD): https://www.cnvd.org.cn/flaw/show/CNVD-2021-84502
[3]相关 issue: https://github.com/kubesphere/helm-charts/issues/193
往期推荐
浪潮的加班标语炸了,这是顶风作案?网传:1月加班87小时还要扣工资?
手磨14nm咖啡,传播性病给60%的实习团队!这样的简历,90%的公司抛出橄榄枝?
技术交流群
最近有很多人问,有没有读者交流群,想知道怎么加入。加入方式很简单,有兴趣的同学,只需要点击下方卡片,回复“加群“,即可免费加入我们的高质量技术交流群!
点击阅读原文,送你免费Spring Boot教程!
更多推荐
所有评论(0)