Hacker haben mehrfach Sourcecode aus SonarQube-Instanzen abgegriffen
Das FBI warnte bereits im Oktober vor einem Angriff auf Installationen unter anderem von US-Regierungsbehörden, aber auch privater Firmen.
Die Cyber Division des Federal Bureau of Investigation (FBI) hat seit April 2020 einige Angriffe auf US-Regierungsbehörden sowie private amerikanische Firmen unter anderem im Technologie- und Finanzsektor festgestellt. Angriffsziel waren unsicher konfigurierte Instanzen der auf automatisierte statische Codeanalyse ausgelegten Open-Source-Plattform SonarQube.
Die Hacker nutzen dazu eine bekannte Schwachstelle in der SonarQube-Plattform aus, die ein Betreiben mit einer Standardkonfiguration erlaubt: Ohne Modifikation läuft sie auf Port 9000
und bietet Administrationszugang mit Nutzername admin
und Passwort admin
. Wohlgemerkt bei einer Software, die die zugehörige Site mit dem Slogan "Your teammate for Code Quality and Security" anpreist, und die zum Auffinden von Bugs und Schwachstellen ausgelegt ist.
Statische Analyse inklusive Schwachstellensuche
SonarQube führt eine statische Codeanalyse für insgesamt 27 Programmiersprachen durch. Die Plattform untersucht den Sourcecode auf mögliche Fehler wie Null-Pointer-Zuweisungen und Sicherheitsrisiken wie Schlüssel mit einer zu geringen Länge oder dem ungeprüften Verwenden beliebiger Nutzereingaben.
Sourcecode, der zum Testen in unsichere SonarQube-Instanzen gelangt, lässt sich von dort über die Standardkombination aus Name und Passwort abgreifen.
Von April bis heute
Das FBI hat laut eigenen Angaben seit April 2020 Sourcecode-Leaks von unsicher konfigurierten SonarQube-Instanzen festgestellt. Im August haben Unbekannte wohl interne Daten von zwei Organisationen über ein öffentliches Lifecycle-Repository-Werkzeug veröffentlicht. Zuvor waren bereits im Juli auf dieselbe Weise abgegriffene Daten aus Unternehmen in einem privat gehosteten und öffentlich zugänglichen Repository aufgetaucht.
Der Report empfiehlt einige Maßnahmen, von denen die erste ein Selbstverständnis sein sollte: Administratoren müssen die Standardeinstellungen ändern. Außerdem empfiehlt die Behörde, die SonarQube-Instanzen hinter einen Log-in-Prozess zu setzen und zu prüfen, ob unautorisierte Benutzer Zugriff auf die Plattform hatten. Verantwortliche sollten zudem alle Credentials austauschen, die in betroffenen Instanzen abrufbar waren. Schließlich empfiehlt das FBI, SonarQube-Installationen hinter einer Firewall zu positionieren.
Da sich das FBI auf den US-amerikanischen Raum konzentriert, beziehen sich die in dem Report genannten Funde lediglich darauf. Es ist aber davon auszugehen, dass europäische Entwickler und Administratoren ebenfalls ungesicherte SonarQube-Instanzen betreiben.
(rme)