La Oficina Federal de Investigaciones (FBI) envió el pasado mes de octubre una advertencia a los servicios de seguridad de empresas y organizaciones gubernamentales.

El documento filtrado la semana pasada afirma que hackers desconocidos se aprovecharon de una vulnerabilidad en la plataforma de verificación de código de SonarQube para obtener acceso a los repositorios de código fuente. Esto conduce a filtraciones de código fuente de agencias gubernamentales y empresas privadas.

La alerta del FBI advirtió a los propietarios de SonarQube, una aplicación web que las empresas integran en sus cadenas de creación de software para probar el código fuente y descubrir agujeros de seguridad antes de lanzar código y aplicaciones en entornos de producción.

Los hackers aprovechan las vulnerabilidades de configuración conocidas, lo que les permite acceder al código propietario, exfiltrarlo y publicar datos. El FBI ha identificado múltiples intrusiones informáticas potenciales que se correlacionan con fugas asociadas con vulnerabilidades de configuración de SonarQube.

Las aplicaciones de SonarQube se instalan en servidores web y se conectan a sistemas de alojamiento de código fuente como cuentas de BitBucket, GitHub o GitLab, o sistemas Azure DevOps.

Según el FBI, algunas empresas han dejado estos sistemas sin protección, ejecutándose con su configuración predeterminada (en el puerto 9000) y credenciales de administración predeterminadas (admin/admin). Los hackers han abusado de las aplicaciones de SonarQube mal configuradas desde al menos abril de 2020.

“Desde abril de 2020, los hacerks no identificados se han dirigido activamente a instancias vulnerables de SonarQube para obtener acceso a los repositorios de código fuente de las agencias gubernamentales y empresas privadas de EE. UU.

Los hackers aprovechan las vulnerabilidades de configuración conocidas, lo que les permite acceder al código propietario, exfiltrarlo y mostrar datos públicamente. El FBI ha identificado múltiples intrusiones informáticas potenciales que se correlacionan con las filtraciones asociadas con las vulnerabilidades en la configuración de SonarQube ”, se lee en el documento del FBI.

Los funcionarios del FBI dicen que los hackers de amenazas abusaron de estas configuraciones incorrectas para acceder a instancias de SonarQube, cambiar a repositorios de código fuente conectados y luego acceder y robar aplicaciones patentadas o privadas / sensibles. Los funcionarios del FBI respaldaron su alerta proporcionando dos ejemplos de incidentes pasados ​​que tuvieron lugar en meses anteriores:

“En agosto de 2020, revelaron datos internos de dos organizaciones a través de una herramienta de repositorio público de ciclo de vida. Los datos robados provenían de instancias de SonarQube que usaban configuraciones de puerto predeterminadas y credenciales administrativas que se ejecutan en las redes de las organizaciones afectadas ”.

“Esta actividad es similar a una violación de datos anterior en julio de 2020, en la que un actor cibernético identificado exfiltró el código fuente de la empresa a través de instancias de SonarQube mal aseguradas y publicó el código fuente exfiltrado en un repositorio público auto alojado. «, 

La alerta del FBI toca un tema poco conocido por los desarrolladores de software y los investigadores de seguridad.

Si bien la industria de la ciberseguridad a menudo ha advertido sobre los peligros de dejar las bases de datos MongoDB o Elasticsearch expuestas en línea sin una contraseña, SonarQube ha escapado de la vigilancia.

De hecho, los investigadores han encontrado a menudo instancias de MongoDB o Elasticsearch en línea que exponen datos sobre decenas de millones de clientes desprotegidos.

Por ejemplo, en enero de 2019, Justin Paine, un investigador de seguridad, descubrió una base de datos Elasticsearch en línea mal configurada, que exponía una cantidad significativa de registros de clientes a merced de los atacantes que descubrieron la vulnerabilidad.

La información sobre más de 108 millones de apuestas , incluidos los detalles de la información personal de los usuarios, pertenecía a clientes de un grupo de casinos en línea.

Sin embargo, algunos investigadores de seguridad advirtieron desde mayo de 2018 sobre los mismos peligros cuando las empresas dejan las aplicaciones SonarQube expuestas en línea con credenciales predeterminadas.

En ese momento, el consultor de ciberseguridad que se enfoca en encontrar violaciones de datos, Bob Diachenko, advirtió que alrededor del 30-40% de las aproximadamente 3,000 instancias de SonarQube disponibles en línea en ese momento no tenían contraseña o mecanismo de autenticación activado.

Fuente y redacción: desdelinux.net

Compartir