FBI发出一个会窃取美政府机构及私人企业源代码的安全警告

访问：

天猫双11第一波11月1日凌晨开启 1400万款商品开启打折模式

京东双十一领券入口：三大主场每满300减40 京享红包最高1111元

该警报特别警告SonarQube的所有者。SonarQube是一个基于web的应用，各家公司将其集成到自己的软件构建链中以便在将代码和应用推出到生产环境之前测试源代码并发现安全缺陷。

SonarQube应用被安装在web服务器上并连接到源代码托管系统如BitBucket、GitHub、GitLab accounts或Azure DevOps systems。

但FBI表示，一些公司没有保护这些系统，它们使用的是默认的管理凭证(admin/admin)并在默认配置（端口9000）上运行。

FBI官员称，威胁者滥用这些错误配置来访问SonarQube具体目标并将其转移到连接的源代码库，然后访问和窃取私有/敏感的应用。

FBI的警告触及了一个软件开发人员和安全研究人员很少知道的问题。

网络安全行业经常就MongoDB或Elasticsearch数据库在没有密码的情况下暴露在网上的危险发出警告，但SonarQube却没有受到影响。然而一些安全研究人员早在2018年5月就已经就让SonarQube应用在网上暴露默认证书的危险发出过警告。

当时，数据泄露猎人Bob Diachenko警告称，那个时候在线可用的约3000个SonarQube实例中有30%到40%没有启用密码或身份验证机制。

今年，瑞士安全研究员Till Kottmann也提出了SonarQube实例配置不当的同样问题。据悉，Kottmann在一年的时间中通过一个公共门户网站收集了

为了防止这样的泄露，FBI的警告列出了公司可以采取的一系列保护措施，首先是改变应用的默认配置和凭证，然后使用防火墙来防止未经授权的用户对应用进行未经授权的访问。

本文素材来自互联网

（编辑：开发网_开封站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!