2021 年 10 月 22 日,国外出名媒体 cybernews 发文称,有未知攻击者攻打并浸透了博世 iSite 的服务器,并盗取了这家制造业巨头的 5G 物联网连贯平台的源代码。
攻击者宣称通过 利用 SonarQube 的零日破绽 获取了这些源代码,并提供了具体的入侵过程截图和盗取到的源代码文件截图。
遭殃的不止是这一家公司,攻击者 25 号宣称梅赛德斯 - 飞驰中国部门的局部源代码也被他们窃取了。
26 号,攻击者又拿到了中国公安系统的医疗平台、保险和人事的 SRC 源码。
目前攻打是否还在持续,咱们无奈得悉,目前已知的就是攻击者利用了 SonarQube 的零日破绽进行入侵,而且攻打的都是 我国的机构和企业。
目前该破绽 (CNVD-2021-84502) 已被收录进了国家信息安全破绽共享平台 (CNVD),并公开了破绽细节。
破绽详情
SonarQube 是一种支流的代码品质继续检测工具,能够集成不同的测试工具、代码剖析工具以及继续集成工具。通过不同的插件对剖析后果进行再加工解决,通过量化的形式度量代码品质的变动,并将后果展示到 SnoarQube 可视化界面。
SonarQube 零碎存在未受权拜访破绽,短少对 API 接口拜访的鉴权管制。该破绽是因为 SnoarQube 系统配置不当,导致平台我的项目 裸露在公网当中 ,攻击者利用该破绽在未受权的状况下拜访 公网 API 接口 ,应用零碎 默认配置口令 进入平台,下载源代码文件,获取零碎敏感信息。
CNVD 将该破绽的危害级别评为“高危”!
由此可见,大家的利用和服务最好不要裸露到公网,假如某个软件有破绽,你就会成为攻击者的靶子。
破绽影响范畴
该破绽影响的 SnoarQube 版本包含:
- SnoarQube 开源版 <= 9.1.0.47736
- SonarQube 稳定版 <= 8.9.3
解决倡议
KubeSphere 用户请留神,KubeSphere 曾经将 SonarQube 集成到了流水线中,您能够间接在 Console 界面上查看常见的代码问题。
咱们强烈建议您不要将 KubeSphere 的 Console 界面和 SonarQube 的控制台裸露到公网中,免得给了攻击者可乘之机。
目前 KubeSphere 团队正在对新版本 SonarQube 进行测试,并新建了相干 issue 来探讨版本升级的事项,大家能够通过 issue 关注咱们的更新进度。
对于曾经在 KubeSphere 中集成 SonarQube 的用户,如果降级版本的需要比拟迫切,能够思考应用 SonarQube 官网的 Helm Chart 进行降级。
如果您还没有在 KubeSphere 中集成 SonarQube,也能够思考应用 SonarQube 官网的 Helm Chart 来装置。装置步骤能够参考 KubeSphere 的官网文档,只需将文档中的 Helm Chart 替换为 SonarQube 官网的 Helm Chart 即可。
本文由博客一文多发平台 OpenWrite 公布!