مكتب التحقيقات الفدرالي؛ تستخدم مثيلات SonarQube لسرقة شفرة المصدر

-التحقيقات-الفدرالي؛-تستخدم-مثيلات-SonarQube-لسرقة-شفرة-المصدر.png


مكتب التحقيقات الفدرالي؛  تستخدم مثيلات SonarQube لسرقة شفرة المصدر
مكتب التحقيقات الفدرالي؛ تستخدم مثيلات SonarQube لسرقة شفرة المصدر

ملف نشر مكتب التحقيقات الفيدرالي تنبيهًا أمنيًا على موقعه على الإنترنت ، يحذر الشركات من الهجمات على SonarQube، وهو تطبيق الويب المستخدم للتحقق من وجود أخطاء في التعليمات البرمجية المصدر. تم تحديدها وتصحيحها قبل نشرها في بيئة المستخدم. ولأنه أمر بالغ الأهمية ، يقوم مستخدمو SonarQube بتجميعه مع مستودعات الأكواد الخاصة بهم ، ولكن ببروتوكولات أمان ضعيفة. يسمح هذا للمهاجمين بالوصول إلى بيانات رموز الملكية الخاصة بهم وسرقتها.

الهجمات على حالات SonarQube الضعيفة

سونار كيوب هي منصة للتحقق من سلامة كود المصدر. يتم استخدامه من قبل العديد من الشركات لمشاركة الثغرات الأمنية في التعليمات البرمجية المصدر الخاصة بهم ، قبل تقديم أي خدمات مفيدة مبنية عليها وتنفيذها في بيئة المستخدم. يتطلب هذا من المستخدمين (الشركات) تثبيت تطبيقات الويب SonarQube على خوادمهم والاتصال بمستودعات الأكواد مثل GitHub و GitLab و BitBucket وما إلى ذلك.

على الرغم من أنها تبدو وكأنها غرامة ، إلا أن مكتب التحقيقات الفيدرالي اعلان عام يحذر هذا يترك مسؤولو النظام طبعات SonarQube الخاصة بهم بإعدادات خاطئةمما يسمح للمهاجمين بمهاجمتها واستغلالها. لا توجد ثغرة أمنية حقيقية في نظام SonarQube ، ولكن تشغيلها على تكوين المنفذ الافتراضي 9000 مع بيانات اعتماد المسؤول الافتراضية (admin / admin) يجعلها عرضة للهجمات.

الهجمات على حالات SonarQube التي تم تكوينها بشكل خاطئ تحدث منذ أبريل من هذا العام ، الأمر الذي دفع مكتب التحقيقات الفيدرالي إلى إرسال تنبيهات خاصة للشركات المستهدفة والهيئات الحكومية لتنبيههم. والآن تم نشر هذا التنبيه للجميع على موقع الويب الخاص بهم.

لقد ذكروا أن المتسللين يصلون إلى مثيلات SonarQube التي تم تكوينها بشكل خاطئ ويعيدون توجيهها إلى مستودعات مرتبطة لسرقة شفرة المصدر. كما أوضح مكتب التحقيقات الفيدرالي في تغييره حالتين على النحو التالي ؛

في أغسطس 2020 ، كشفت جهات غير معروفة بيانات داخلية من مؤسستين عبر مستودع دورة الحياة العامة. كانت البيانات المسروقة من مثيلات SonarQube التي استخدمت إعدادات المنفذ الافتراضية وبيانات اعتماد المسؤول على شبكات المؤسسة المتأثرة. “

“هذا النشاط مشابه لتسرب البيانات السابق في تموز (يوليو) 2020 ، حيث قام مجرم إلكتروني محدد باستخراج كود مصدر ملكية من المؤسسات عبر مثيلات SonarQube ضعيفة التأمين ونشر كود المصدر المستخرج في مستودع عام مستضاف ذاتيًا.”

أخبار شعبية أخرى: – أخبار



scroll to top