《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > SonarQube未授權(quán)訪問漏洞(CNVD-2021-84502)

SonarQube未授權(quán)訪問漏洞(CNVD-2021-84502)

2021-11-26
來源:維他命安全
關(guān)鍵詞: SonarQube 漏洞

  0x00 漏洞概述

  2021年11月5日,,國家信息安全漏洞共享平臺(CNVD)收錄了SonarQube系統(tǒng)未授權(quán)訪問漏洞(CNVD-2021-84502),。攻擊者可以利用此漏洞在未授權(quán)的情況下獲取敏感代碼數(shù)據(jù),。目前SonarQube公司已經(jīng)發(fā)布了此漏洞的補丁,,但漏洞的利用細節(jié)已公開。

  0x01 漏洞詳情

  SonarQube是一個開源代碼質(zhì)量管理和分析審計平臺,,支持包括Java,,C#,,C/C++,,PL/SQL,,Cobol,JavaScript,,Groovy等二十多種編程語言的代碼質(zhì)量管理,,可以對項目中的重復(fù)代碼、程序錯誤,、編寫規(guī)范,、安全漏洞等問題進行檢測,并將結(jié)果通過SonarQube Web界面進行呈現(xiàn),。

  SonarQube 系統(tǒng)在默認配置下,會將通過審計的源代碼上傳至SonarQube平臺,。由于SonarQube缺少對API接口訪問的鑒權(quán)控制,,導(dǎo)致攻擊者可以在未授權(quán)的情況下通過訪問上述API接口,獲取SonarQube平臺上的程序源代碼,,造成項目源代碼數(shù)據(jù)泄露風(fēng)險,。

  2021年10月以來,啟明星辰監(jiān)測到境外黑客組織AgainstTheWest(簡稱“ATW”)針對SonarQube平臺進行攻擊,,竊取了我國多家政企機構(gòu)的信息系統(tǒng)源代碼,,并在國外黑客論壇RaidForums上進行非法售賣。

  早在2020年4月,,聯(lián)邦調(diào)查局(FBI)就發(fā)現(xiàn)黑客利用SonarQube從美國各個行業(yè)和政府機構(gòu)竊取數(shù)據(jù),。

  影響范圍

  SonarQube < 8.6

  0x02 處置建議

  目前SonarQube公司已經(jīng)修復(fù)了此漏洞,建議升級更新到SonarQube 8.6或更高版本,。

  緩解措施:

  更改SonarQube默認設(shè)置,,包括更改默認管理員用戶名、密碼和端口(9000),。

  配置開啟認證功能,,構(gòu)建雙因素認證,并檢查未經(jīng)授權(quán)的用戶是否訪問了該實例。

  如果可行,,撤銷對在 SonarQube 實例中公開的任何應(yīng)用程序編程接口密鑰或其他憑據(jù)的訪問權(quán)限,。

  將SonarQube實例配置為組織的防火墻和其他外圍防御之后,以防止未經(jīng)身份驗證的訪問,。

  0x03 參考鏈接

  https://mp.weixin.qq.com/s/BSnfaLJX7cuIt3ZfuxpKTA

  https://mp.weixin.qq.com/s/mcYlZVGnm9Ubty1qWx3sCQ

  https://docs.sonarqube.org/latest/setup/get-started-2-minutes/

https://www.bleepingcomputer.com/news/security/fbi-hackers-stole-government-source-code-via-sonarqube-instances/



電子技術(shù)圖片.png


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點,。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問題,,請及時通過電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected]