首頁 > 安全研究 > 安全通報 > 安全通告

【漏洞通告】SonarQube未授權訪問漏洞(CNVD-2021-84502)

發布時間 2021-11-24

0x00 漏洞概述

2021年11月5日,國家信息安全漏洞共享平臺(CNVD)收錄了SonarQube系統未授權訪問漏洞(CNVD-2021-84502)。攻擊者可以利用此漏洞在未授權的情況下獲取敏感代碼數據。目前SonarQube公司已經發布了此漏洞的補丁,但漏洞的利用細節已公開。

 

0x01 漏洞詳情

image.png

SonarQube是一個開源代碼質量管理和分析審計平臺,支持包括Java,C#,C/C++,PL/SQL,Cobol,JavaScript,Groovy等二十多種編程語言的代碼質量管理,可以對項目中的重復代碼、程序錯誤、編寫規范、安全漏洞等問題進行檢測,并將結果通過SonarQube Web界面進行呈現。

SonarQube 系統在默認配置下,會將通過審計的源代碼上傳至SonarQube平臺。由于SonarQube缺少對API接口訪問的鑒權控制,導致攻擊者可以在未授權的情況下通過訪問上述API接口,獲取SonarQube平臺上的程序源代碼,造成項目源代碼數據泄露風險。

2021年10月以來,啟明星辰監測到境外黑客組織AgainstTheWest(簡稱“ATW”)針對SonarQube平臺進行攻擊,竊取了我國多家政企機構的信息系統源代碼,并在國外黑客論壇RaidForums上進行非法售賣。

早在2020年4月,聯邦調查局(FBI)就發現黑客利用SonarQube從美國各個行業和政府機構竊取數據。

 

影響范圍

SonarQube < 8.6

 

0x02 處置建議

目前SonarQube公司已經修復了此漏洞,建議升級更新到SonarQube 8.6或更高版本。

緩解措施:

l  更改SonarQube 默認設置,包括更改默認管理員用戶名、密碼和端口(9000)。

l  配置開啟認證功能,構建雙因素認證,并檢查未經授權的用戶是否訪問了該實例。

l  如果可行,撤銷對在 SonarQube 實例中公開的任何應用程序編程接口密鑰或其他憑據的訪問權限。

l  將SonarQube 實例配置為組織的防火墻和其他外圍防御之后,以防止未經身份驗證的訪問。

 

0x03 參考鏈接

https://mp.weixin.qq.com/s/BSnfaLJX7cuIt3ZfuxpKTA

https://mp.weixin.qq.com/s/mcYlZVGnm9Ubty1qWx3sCQ

https://docs.sonarqube.org/latest/setup/get-started-2-minutes/

https://www.bleepingcomputer.com/news/security/fbi-hackers-stole-government-source-code-via-sonarqube-instances/

 

0x04 更新版本

版本

日期

修改內容

V1.0

2021-11-24

首次發布

 

0x05 關于我們

公司簡介

啟明星辰公司成立于1996年,并于2010年6月23日在深交所中小板正式掛牌上市,是國內最具實力的信息安全產品和安全管理平臺、安全服務與解決方案的領航企業之一。

公司總部位于北京市中關村軟件園,在全國各省、市、自治區設立分支機構六十多個,擁有覆蓋全國的銷售體系、渠道體系和技術支持體系;并在華北、華東、西南和華南布局四大研發中心,分別為北京研發總部、上海研發中心、成都研發中心和廣州研發中心。

多年來,啟明星辰致力于提供具有國際競爭力的自主創新的安全產品和最佳實踐服務,幫助客戶全面提升其IT基礎設施的安全性和生產效能,為打造和提升國際化的民族信息安全產業領軍品牌而不懈努力。

 

關于我們

啟明星辰安全應急響應中心主要針對重要安全漏洞的預警、跟蹤和分享全球最新的威脅情報和安全報告。

關注以下公眾號,獲取全球最新安全資訊:

image.png

 

上一篇 下一篇