La Oficina Federal de Investigaciones ha enviado una alerta de seguridad advirtiendo que los actores de amenazas están abusando de aplicaciones SonarQube mal configuradas para acceder y robar repositorios de código fuente de agencias gubernamentales y empresas privadas de los EE.UU.

Las intrusiones han tenido lugar desde al menos abril de 2020, dijo el FBI en una alerta enviada en noviembre.

La alerta advierte específicamente a los propietarios de SonarQube, una aplicación basada en web que las empresas integran en sus cadenas de creación de software para probar el código fuente y descubrir fallas de seguridad antes de implementar el código y las aplicaciones en entornos de producción. Las aplicaciones de SonarQube se instalan en servidores web y se conectan a sistemas de alojamiento de código fuente como cuentas de BitBucket, GitHub o GitLab, o sistemas Azure DevOps.

Pero el FBI dice que algunas empresas han dejado estos sistemas desprotegidos, ejecutándose en su configuración predeterminada (en el puerto 9000) con credenciales de administrador predeterminadas (admin / admin).

Los funcionarios del FBI dicen que los actores de amenazas han abusado de estas configuraciones erróneas para acceder a las instancias de SonarQube, cambiar a los repositorios de código fuente conectados y luego acceder y robar aplicaciones patentadas o privadas o sensibles.

En agosto de 2020, los actores de amenazas desconocidos filtraron datos internos de dos organizaciones. Los datos robados se obtuvieron de instancias de SonarQube que usaban configuraciones de puerto predeterminadas y credenciales de administrador que se ejecutaban en las redes de las organizaciones afectadas.

Si bien la industria de la seguridad a menudo ha advertido sobre los peligros de dejar las bases de datos de MongoDB o Elasticsearch expuestas en línea sin contraseñas, esta es la primera advertencia oficial sobre SonarQube.

Algunos investigadores de seguridad han estado advirtiendo sobre los peligros de dejar las aplicaciones SonarQube expuestas en línea con credenciales predeterminadas desde mayo de 2018. En ese momento, Bob Diachenko advirtió que alrededor del 30% al 40% de las ~3000 instancias de SonarQube disponibles en línea en ese momento no tenían contraseña ni mecanismo de autenticación.

Este año, un investigador de seguridad suizo llamado Till Kottmann también ha planteado el mismo problema de instancias de SonarQube mal configuradas. A lo largo del año, Kottmann ha recopilado código fuente de decenas de empresas de tecnología en un portal público, y muchos de ellos provienen de aplicaciones SonarQube. "No conozco el número actual de instancias de SonarQube expuestas, pero dudo que haya cambiado mucho. Supongo que todavía hay más de 1.000 servidores (que están indexados por Shodan) que son 'vulnerables' ya sea al no requerir autenticación o al dejarlos configurados por defecto", dijo.

Desde diciembre de 2020, SonarQube ha realizado algunas modificaciones y, partir de la v8.6, la aplicación ahora advierte a los administradores si dejaron la cuenta de administrador habilitada con una contraseña predeterminada o sin contraseña.

Fuente: ZDNet