Il Federal Bureau of Investigation ha inviato un avviso di sicurezza che avverte che gli hacker stanno abusando di applicazioni SonarQube configurate in modo errato per accedere e rubare archivi di codice sorgente da agenzie governative statunitensi e aziende private.
Le intrusioni si sono verificate almeno dall’aprile 2020, ha detto l’FBI in un avviso inviato il mese scorso e reso pubblico questa settimana sul suo sito web.
inSicurezzadigitale.com mette a disposizione il documento ufficiale in pdf pronto per il download qui sotto.
L’avviso avverte specificamente i proprietari di SonarQube, un’applicazione basata sul web che le aziende integrano nelle loro catene di build software per testare il codice sorgente e scoprire falle di sicurezza prima di distribuire codice e applicazioni negli ambienti di produzione.
Le app SonarQube vengono installate su server Web e connesse a sistemi di hosting del codice sorgente come account BitBucket, GitHub o GitLab o sistemi Azure DevOps.
Ma l’FBI afferma che alcune aziende hanno lasciato questi sistemi non protetti, eseguendo la loro configurazione predefinita (sulla porta 9000) con le credenziali di amministratore predefinite (admin / admin).
I funzionari dell’FBI affermano che gli hacker hanno abusato di queste configurazioni errate per accedere alle istanze di SonarQube, passare ai repository di codice sorgente connessi e quindi accedere e rubare applicazioni proprietarie o private / sensibili.
I funzionari hanno fornito due esempi di incidenti passati:
“Nell’agosto 2020, hacker sconosciuti hanno fatto trapelare dati interni da due organizzazioni tramite uno strumento di repository del ciclo di vita pubblico. I dati rubati provenivano da istanze SonarQube che utilizzavano impostazioni di porta predefinite e credenziali di amministratore in esecuzione sulle reti delle organizzazioni interessate.
“Questa attività è simile a una precedente fuga di dati nel luglio 2020, in cui un hacker informatico identificato ha trapelato codice sorgente proprietario dalle imprese attraverso istanze SonarQube scarsamente protette e ha pubblicato il codice sorgente su un repository pubblico self-hosted”.
IL PROBLEMA DIMENTICATO SI RIPRESENTA NEL 2020
L’allarme dell’FBI tocca un problema poco noto tra sviluppatori di software e ricercatori di sicurezza.
Mentre il settore della sicurezza informatica ha spesso messo in guardia sui pericoli di lasciare i database MongoDB o Elasticsearch esposti online senza password, SonarQube è scivolato attraverso le buone pratiche.
Tuttavia, alcuni ricercatori di sicurezza hanno avvertito dei pericoli di lasciare le applicazioni SonarQube esposte online con le credenziali predefinite sin dal maggio 2018.
All’epoca, il cacciatore di violazioni dei dati Bob Diachenko aveva avvertito che circa il 30-40% di tutte le circa 3.000 istanze di SonarQube disponibili online all’epoca non avevano password o meccanismi di autenticazione abilitati.
Quest’anno, un ricercatore di sicurezza svizzero di nome Till Kottmann ha sollevato lo stesso problema di istanze SonarQube mal configurate. Durante l’anno, Kottmann ha raccolto codice sorgente da decine di aziende tecnologiche in un portale pubblico, e molti di questi provenivano da applicazioni SonarQube.
“La maggior parte delle persone sembra non modificare assolutamente nessuna delle impostazioni, che in realtà sono spiegate correttamente nella guida all’installazione di SonarQube”, ha detto Kottmann.
“Non conosco il numero attuale di istanze SonarQube esposte, ma dubito che sia cambiato molto. Immagino che siano ancora ben oltre 1.000 server (indicizzati da Shodan) che sono ‘vulnerabili’ non richiedendo l’autenticazione o lasciando l’impostazione predefinita creds”.
Per evitare fughe di notizie come queste, l’avviso dell’FBI elenca una serie di passaggi che le aziende possono intraprendere per proteggere i propri server SonarQube, iniziando con la modifica della configurazione e delle credenziali predefinite dell’app e quindi utilizzando i firewall per impedire l’accesso non autorizzato all’app da utenti non autorizzati.
