2021年11月21日，國家互聯(lián)網(wǎng)應(yīng)急中心CNCERT發(fā)布“關(guān)于近期境外黑客組織攻擊我國多個企業(yè)竊取源代碼數(shù)據(jù)的通報”，內(nèi)容如下：

  2021年10月以來，國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心（以下簡稱“CNCERT”）監(jiān)測發(fā)現(xiàn)，有黑客組織利用SonarQube軟件的漏洞，對我國多個企業(yè)發(fā)起攻擊，竊取了我金融、醫(yī)療等重要領(lǐng)域信息系統(tǒng)源代碼數(shù)據(jù)，并在境外互聯(lián)網(wǎng)進行非法售賣。CNCERT協(xié)調(diào)受攻擊企業(yè)配合開展現(xiàn)場取證，分析判斷該黑客組織來自境外。

  該黑客組織的上述行為嚴(yán)重侵犯我企業(yè)知識產(chǎn)權(quán)，對我我國國家安全和企業(yè)利益造成嚴(yán)重威脅。CNCERT呼吁該黑客組織立即停止網(wǎng)絡(luò)攻擊行為。建議相關(guān)人員一旦發(fā)現(xiàn)我境內(nèi)網(wǎng)絡(luò)安全漏洞和威脅后，積極向CNCERT通報相關(guān)情況，聯(lián)系郵箱為cncert@cert.org.cn。

  同時，CNCERT提醒境內(nèi)使用SonarQube軟件的相關(guān)單位及時采取措施，修復(fù)漏洞，防范網(wǎng)絡(luò)攻擊行為。

（下文，是安數(shù)網(wǎng)絡(luò)對SonnarQube及漏洞的簡單介紹）

 
關(guān)于SonarQube
  SonarQube是一個開源代碼質(zhì)量管理和分析審計平臺，支持包括Java，C#，C/C++，PL/SQL，Cobol，JavaScript，Groovy等二十余種編程語言的代碼質(zhì)量管理，可以對項目中的重復(fù)代碼、程序錯誤、編寫規(guī)范、安全漏洞等問題進行檢測，并將結(jié)果通過SonarQube Web界面進行呈現(xiàn)。
 
SonarQube系統(tǒng)未授權(quán)訪問漏洞（CNVD-2021-84502）
  2021年11月5日，國家信息安全漏洞共享平臺（CNVD）收錄了SonarQube系統(tǒng)未授權(quán)訪問漏洞（CNVD-2021-84502）。攻擊者利用該漏洞，可在未授權(quán)的情況下獲取敏感代碼數(shù)據(jù)。目前，漏洞利用細節(jié)已公開，SonarQube公司已發(fā)布補丁修復(fù)該漏洞。CNVD建議受影響用戶盡快更新至最新版本避免漏洞攻擊威脅。
 
  1. 漏洞情況分析
  SonarQube系統(tǒng)在默認(rèn)配置下，會將通過審計的源代碼上傳至SonarQube平臺。由于SonarQube缺少對API接口訪問的鑒權(quán)控制，攻擊者利用該漏洞，可在未授權(quán)的情況下通過訪問上述API接口，獲取SonarQube平臺上的程序源代碼，構(gòu)成項目源代碼數(shù)據(jù)泄露風(fēng)險。
  CNVD對該漏洞的綜合評級為“高?！?。
 
  2. 漏洞影響范圍
  漏洞影響的產(chǎn)品版本包括：
  SnoarQube SnoarQube開源版 <= 9.1.0.47736
  SonarQube SonarQube穩(wěn)定版 <= 8.9.3 

  3. 漏洞危害
  境外媒體相繼爆料多起源代碼泄露事件，涉及我國多個機構(gòu)和企業(yè)的SonarQube代碼審計平臺。
 
  4. 漏洞處置建議
  目前，SonarQube公司已發(fā)布新版本修復(fù)該漏洞，CNVD建議用戶盡快進行自查，并及時升級至最新版本，同時可根據(jù)業(yè)務(wù)情況，加設(shè)或調(diào)整部署于公網(wǎng)的系統(tǒng)訪問策略。

  附參考鏈接：
  https://www.cert.org.cn/publish/main/9/2021/20211121170349483356572/20211121170349483356572_.html
  https://www.cnvd.org.cn/flaw/show/CNVD-2021-84502
  https://docs.sonarqube.org/latest/setup/get-started-2-minutes/
  https://blog.sonarsource.com/public-response-code-leaks
 
  如果不便于升級，也可以采用以下緩解措施：
  1）更改默認(rèn)設(shè)置，包括更改默認(rèn)管理員用戶名、密碼和端口（9000）。
  2）將 SonarQube 實例放在登錄屏幕后面，并檢查未經(jīng)授權(quán)的用戶是否訪問了該實例。
  3）如果可行，撤消對 SonarQube 實例中公開的任何應(yīng)用程序編程接口密鑰或其他憑據(jù)的訪問權(quán)限。
  4）將 SonarQube 實例配置為位于組織的防火墻和其他外圍防御之后，以防止未經(jīng)身份驗證的訪問。
 

及時掌握網(wǎng)絡(luò)安全態(tài)勢 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)

【網(wǎng)絡(luò)安全監(jiān)管部門】免費試用

本文來源:國家互聯(lián)網(wǎng)應(yīng)急中心

如涉及侵權(quán)，請及時與我們聯(lián)系，我們會在第一時間刪除或處理侵權(quán)內(nèi)容。
電話：400-869-9193 負(fù)責(zé)人：張明