El FBI advierte sobre ataques a SonarQube mientras los piratas informáticos roban el código fuente

El FBI publicó una alerta de seguridad enviada el mes pasado a varias empresas y agencias gubernamentales sobre ataques a SonarQube. La agencia advirtió que los atacantes están explotando instancias de SonarQube y robando el código fuente propietario de las víctimas. El FBI alertó a las empresas sobre esto el mes pasado y lo publicó públicamente esta semana.

Aplicaciones SonarQube configuradas incorrectamente

SonarQube es una plataforma que las empresas deben integrar en sus repositorios de software para probar su código fuente en busca de posibles fallas de seguridad. Estos luego se rectifican antes de que lleguen al público. Varias empresas, incluidas agencias gubernamentales, lo utilizan para verificar la integridad del código fuente.

Las empresas suelen vincular sus aplicaciones SonarQube a sistemas de alojamiento de código fuente como cuentas de GitHub, BitBucket o GitLab. El FBI tiene alertado sobre esta práctica dado que muchos utilizan credenciales de administrador estándar (admin / admin) para sus instancias de SonarQube, lo que permite a los atacantes explotar estas credenciales y acceder a la red del objetivo.

Además, seguirían accediendo a los repositorios vinculados y robarían código fuente propietario. El investigador de seguridad Bob Diachenko advirtió anteriormente que alrededor del 30-40% de las instancias de SonarQube tienen la misma vulnerabilidad configurada incorrectamente, que es menos vista por los atacantes. La mayoría de ellos se enfocan en explorar bases de datos expuestas de MongoDB y ElasticSearch.

También proporcionaron dos ejemplos, «En agosto de 2020, agentes de amenazas desconocidos filtraron datos internos de dos organizaciones a través de una herramienta de repositorio de ciclo de vida público. Los datos robados se obtuvieron de instancias de SonarQube que usaban configuraciones de puerto estándar y credenciales de administrador que se ejecutaban en las redes de las organizaciones afectadas.. «

Adicional, «Esta actividad es similar a una filtración de datos anterior en julio de 2020, en la que un ciber custodio identificado extrajo el código fuente propietario a través de instancias de SonarQube mal protegidas y publicó el código fuente extraído en un repositorio público autohospedado.

Por lo tanto, se recomienda a las empresas que utilizan SonarQube que configuren sus credenciales con credenciales sólidas y se aseguren de que no permiten que nadie acceda ilegalmente al código fuente.