2021 年 10 月 22 日,國外知名媒體 cybernews 發文稱,有未知攻擊者攻擊並滲透了博世 iSite 的服務器,並盜取了這家制造業巨頭的 5G 物聯網連接平台的源代碼。
攻擊者聲稱通過利用 SonarQube 的零日漏洞獲取了這些源代碼,並提供了詳細的入侵過程截圖和盜取到的源代碼文件截圖。
遭殃的不止是這一家公司,攻擊者 25 號聲稱梅賽德斯-奔馳中國部門的部分源代碼也被他們竊取了。
26 號,攻擊者又拿到了中國公安系統的醫療平台、保險和人事的 SRC 源碼。
目前攻擊是否還在繼續,我們無法得知,目前已知的就是攻擊者利用了 SonarQube 的零日漏洞進行入侵,而且攻擊的都是我國的機構和企業。
目前該漏洞 (CNVD-2021-84502) 已被收錄進了國家信息安全漏洞共享平台 (CNVD),並公開了漏洞細節。
漏洞詳情
SonarQube 是一種主流的代碼質量持續檢測工具,可以集成不同的測試工具、代碼分析工具以及持續集成工具。通過不同的插件對分析結果進行再加工處理,通過量化的方式度量代碼質量的變化,並將結果展現到 SnoarQube 可視化界面。
SonarQube 系統存在未授權訪問漏洞,缺少對 API 接口訪問的鑒權控制。該漏洞是由於 SnoarQube 系統配置不當,導致平台項目暴露在公網當中,攻擊者利用該漏洞在未授權的情況下訪問公網 API 接口,使用系統默認配置口令進入平台,下載源代碼文件,獲取系統敏感信息。
CNVD 將該漏洞的危害級別評為“高危”!
由此可見,大家的應用和服務最好不要暴露到公網,假設某個軟件有漏洞,你就會成為攻擊者的靶子。
漏洞影響范圍
該漏洞影響的 SnoarQube 版本包括:
- SnoarQube 開源版 <= 9.1.0.47736
- SonarQube 穩定版 <= 8.9.3
處理建議
KubeSphere 用戶請注意,KubeSphere 已經將 SonarQube 集成到了流水線中,您可以直接在 Console 界面上查看常見的代碼問題。
我們強烈建議您不要將 KubeSphere 的 Console 界面和 SonarQube 的控制台暴露到公網中,以免給了攻擊者可乘之機。
目前 KubeSphere 團隊正在對新版本 SonarQube 進行測試,並新建了相關 issue 來探討版本升級的事項,大家可以通過 issue 關注我們的更新進度。
對於已經在 KubeSphere 中集成 SonarQube 的用戶,如果升級版本的需求比較迫切,可以考慮使用 SonarQube 官方的 Helm Chart 進行升級。
如果您還沒有在 KubeSphere 中集成 SonarQube,也可以考慮使用 SonarQube 官方的 Helm Chart 來安裝。安裝步驟可以參考 KubeSphere 的官方文檔,只需將文檔中的 Helm Chart 替換為 SonarQube 官方的 Helm Chart 即可。
本文由博客一文多發平台 OpenWrite 發布!