SonarQube漏洞致我國大量源碼泄露事件分析
0x01 事件概況
近幾年來360對全球網絡安全威脅、風險等動態監測中發現了若干起源代碼泄露、數據泄露、機密文件泄露、隱私相片泄露等數據安全事件,且發現數據泄露事件愈演愈烈。
近期360監測到境外某論壇有黑客利用SonarQube漏洞,竊取大量源碼,并在論壇上公然兜售泄露代碼,其中涉及我國數十家重要企業單位的應用代碼,其行為極為惡劣。
監測到論壇售賣源碼的部分截圖:
圖1 我國某單位2G源碼
圖2 我國某互聯網金融企業
0x02 漏洞影響產品概述
SonarQube是一款開源靜態代碼質量分析管理工具,支持Java、Python、PHP、JavaScript、CSS等27種以上目前極為流程的編程開發語言,同時它能夠便捷集成在各種IDE、Jenkins、Git等服務中,方便及時查看代碼質量分析報告。該工具在github開源社區獲得6.3K的關注量,在全球頗具影響力,深得全球各研發工作者的喜愛。
0x03 漏洞描述
SonarQube是一款開源靜態代碼質量分析管理工具,在默認配置的情況下,缺少對API 接口的訪問權限控制,攻擊者可利用該漏洞在未授權的情況下,通過訪問api/settings/values接口從而獲取到 SMTP、SVN、GitLab 憑據,進一步獲取源代碼數據倉庫中的源代碼,造成項目源代碼泄露。同時還可以對使用默認賬號密碼的用戶進行攻擊,系統安裝完成后,默認弱口令為admin/admin,攻擊者通過輸入默認賬號密碼,同樣可以獲得敏感配置信息,從而進一步竊取企業源代碼。
0x04 影響版本
SonarQube <8.6
0x05 漏洞影響力分析
從CVE漏洞庫中檢索得知,SonarQube歷史上出現過7個安全漏洞,信息泄露類漏洞占比高達25%。詳細信息如圖3、4所示。
圖3 SonarQube歷史漏洞總結
圖4 SonarQube歷史CVE漏洞
借助網絡空間測繪引擎Quake分析發現,SonarQube全球部署量比較多的國家分別是美國、德國、愛爾蘭和中國,分別占據全球安裝部署總量的 44%、9%、8%、7%、4%。在國內安裝部署量較多的是北京、上海、浙江、廣東,分別占到了總部署量的27%、19%、14%、14%。從測繪統計的結果來看,中國境內部署著大量SonarQube組件,在全球也屬前列,而國內的北京、上海、浙江、廣東,是國內信息化最發達的幾個省市,我國的很多重要的信息化產品均是在這幾個省市中研發而來,此漏洞的爆發被泄露了眾多技術源代碼,嚴重威脅著我國公民的生產、生活安全、數據資產安全,我國是此次漏洞影響的重災區。
圖5 SonarQube全球部署量測繪統計(數據來源:360Quake)
圖6 SonarQube全球部署量統計圖
圖7 SonarQube中國境內部署量測繪統計(數據來源:360Quake)
圖8 SonarQube中國境內部署量統計圖
0x06 修復及建議
1. 盡快通過參考鏈接中官網地址升級到最新版本。
2. 配置開啟認證功能,構建雙因素認證。
3. 排查并禁止使用默認端口(9000),禁止默認賬號及密碼。
4. 構建受限的VPN安全網絡環境。
5. 構建受限地理區域訪問控制。
6. 若非必要,關停互聯網的訪問權限。
7. 加強流量異常監測和網絡安全防范。
8. 特別提醒,不要松懈、加強內網、專網的安全防范,攻擊和入侵無孔不入,防不勝防。
9. 同時建議您使用360相關安全產品及服務,為您保駕護航。
0x07 總結
隨著信息化的高速發展,開源軟件因其功能完備、適應性強、兼容性強、可快速開發交付等特點,已成為當前軟件開發中的中堅力量。但是開源軟件爆發出的安全問題也一直困擾著我們,尤其是一些耦合性比較高的開源開發組件,當其被選為研發供應鏈的時候,其被替代的可能就會大大降低,當出現安全問題時,尤其是遇到無法徹底修復的漏洞的時候,其處理難度、處理成本會大大增加。
我國是開源組件的大量使用國,在關鍵基礎設施領域充斥著大量開源組件的身影。根據 2020 年 Synopsys 發布的《開源安全與風險分析報告》中提到的:“2020 年包含存在漏洞的開源組件的代碼庫高達 84%,營銷科技類公司的代碼庫中都包含開源組件,包括 CRM客戶關系管理系統及社交媒體,其中 95%的營銷科技代碼庫存在開源軟件安全漏洞;98%的醫療保健行業代碼庫包含開源組件,其中有 67%的代碼庫存在安全漏洞;97%的金融服務/金融科技行業代碼庫包含開源組件,其中超過 60%的代碼庫存在安全漏洞;92%的零售和電子商務行業代碼庫包含開源組件,其中 71%的代碼庫存在安全漏洞”。
使用空間測繪引擎對一些高頻使用的開源組件進行統計分析,如圖 9、10、11所示,從統計結果可以得知,我國在開源軟件的部署和使用上名列前茅,一旦發現開源組件的安全問題,我國會是首當其沖的攻擊目標。
Apache httpd(提供網頁瀏覽訪問的服務器)
圖9 Apache httpd全球部署分布圖
Struts2(一種快速構建網站的框架)
圖10 Apache Struts2全球部署分布圖
ThinkPHP(一種國產快速構建網站的PHP框架)
圖11 ThinkPHP全球部署分布圖
根據《2021全球通用漏洞分析報告》顯示,開源軟件漏洞還在以遞增的趨勢發展,2020年開源軟件漏洞數量高達4141條 。同時在《2021全球通用漏洞分析報告》也指出,即使投入大量的資金保護企業信息安全,也無法做到100%無安全漏洞,但是投入的資金越多,可以將安全風險數量降低到一個較低的區間。
我國作為一個發展中國家,在資金方面和發達國家仍然有巨大差距,加上國內近幾十年信息化的迅速發展,大部分人并沒有安全意識,安全人才短缺嚴重,導致我國面臨的安全威脅在逐步擴大。
總結幾條2021國內的網絡安全大事件,以及幾年別國對我國的APT攻擊事件:
1、2021年1月5日,國外安全研究團隊Cyble發現多個帖子正在出售與中國公民有關的個人數據,經分析可能來自微博、QQ等多個社交媒體,本次發現的幾個帖子中與中國公民有關的記錄總數超過2億。
2、2021年4月,有網絡安全團隊發現一個網絡犯罪論壇上發布了超過13億條包含有關中國公民敏感信息的記錄(非近期數據)。數據源包括:騰訊QQ、順豐、京東、新浪微博、車主數據、身份證號碼等信息。
3、2021年3月底,臺灣宏碁遭遇勒索軟件攻擊,REvil組織公布了入侵宏碁系統的截圖,數據涉及財務電子表格、銀行結余、往來信息等文檔。該組織要求宏碁支付5000萬美元的贖金,以解除對這些數據的加密。
4、2020年蔓靈花(Bitter)組織近期針對我國政府部門、科研機構發起攻擊。
5、2020年360安全大腦捕獲了美國中央情報局CIA攻擊組織(APT-C-39)對我國進行的長達十一年的網絡攻擊滲透。在此期間,我國航空航天、科研機構、石油行業、大型互聯網公司以及政府機構等多個單位均遭到不同程度的攻擊。
綜上,無法舍棄的開源軟件、層出不窮的安全漏洞、大量在公網開放部署軟件產品、愈演愈熱的來自國外的網絡攻擊,構成了我國當前錯綜復雜網絡安全形勢。作為網絡攻擊暴露面巨大的國家,我們必須不斷加強網絡安全建設,努力培養網絡安全人才,增強網絡安全意識。對擁有信息數字化的企業,應及時梳理自身數字資產、更新軟件資產版本、及時修補安全漏洞、減少暴露面向互聯網的資產、充分學習《關鍵基礎設施保護條例》、《網絡安全法》、《數據安全法》等一系列安全法律法規,充分構建安全的信息資產。
0x08 參考資料
1.https://quake.#/
2.https://www.sonarqube.org/features/multi-languages/
3.https://github.com/SonarSource/sonarqube
4.https://github.com/SonarSource/sonarqube/search?q=vulnerability&type=issues
5.https://www.cvedetails.com/product/26632/Sonarsource-Sonarqube.html?vendor_id=12999
6.https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=SonarQube
7.https://csl.com.co/sonarqube-auditando-al-auditor-parte-i/
0x09 獲取更多情報
建議您訂閱360漏洞云-漏洞情報服務,獲取更多漏洞情報詳情以及處置建議,讓您的企業遠離漏洞威脅。
電話:010-52447660
郵箱:loudongyun@#
網址:https://loudongyun.#
360漏洞云介紹
360安全大腦漏洞云以技術為驅動,以安全專家為核心,圍繞漏洞生態體系打造集漏洞監測、漏洞收集、漏洞挖掘、漏洞存儲、漏洞管理、專家響應、漏洞情報預警、安全服務定制化于一體的漏洞安全一站式服務,幫助客戶防患于未然,在降低資產風險的同時,大幅提升客戶對漏洞感知、預警、分析等響應能力,為國家、政企客戶、用戶搶占風險預警處置先機,提升網絡安全主動防護能力。
