Un reporte del Buró Federal de Investigaciones (FBI) menciona que un grupo de actores de amenazas han encontrado la forma de abusar de las implementaciones mal configuradas de SonarQube para robar repositorios de código fuente pertenecientes a compañías privadas y organizaciones gubernamentales en E.U. En su reporte, el FBI menciona que esta campaña de intrusiones ha estado activa desde inicios de 2020, precisamente desde abril.
La alerta está dirigida específicamente a los usuarios de SonarQube, una aplicación web empleada por miles de organizaciones para integrar sus cadenas de creación de software, probar código fuente y detectar fallas de seguridad.
Las implementaciones de SonarQube se instalan en servidores web y se conectan a sistemas de alojamiento de código fuente como cuentas de BitBucket, GitHub o GitLab, o sistemas Azure DevOps. Según el FBI, algunas compañías operan estos sistenas sin las medidas de seguridad necesarias, ejecutándose en su configuración predeterminada (puerto 9000) y sin cambiar las credenciales de administrador por defecto.
Los hackers maliciosos han comenzado a abusar de estas configuraciones erróneas para acceder a las instancias de SonarQube y realizar diversos ataques, como cambiar a los repositorios de código fuente para finalmente acceder y robar aplicaciones patentadas y demás contenido confidencial.
Algunos investigadores de seguridad llevan advirtiendo sobre los peligros de dejar las aplicaciones de SonarQube expuestas en línea desde hace años. En 2018, el investigador Bob Diachenko advirtió que casi la mitad de las 3 mil instancias de SonarQube disponibles en línea en ese momento no contaban con los mecanismos de seguridad idóneos.
Recientemente Till Kottmann, otro investigador de seguridad, planteó un problema similar después de recopilar código fuente de decenas de compañías tecnológicas a través de un portal público: “La mayoría de los usuarios de SonarQube no cambia absolutamente ninguna configuración predeterminada, algo que incluso es solicitado durante el proceso de implementación”.
Sobre el hallazgo de Diachenko, Kottmann menciona: “No estoy al tanto del número de instancias de SonarQube expuestas actualmente, aunque no creo que las cosas hayan cambiado mucho; debe haber al menos 1000 servidores vulnerables a esta clase de actividad maliciosa”, concluye.
Las autoridades recomiendan implementar algunas medidas para mitigar el riesgo de ataque contra estas implementaciones; modificar las configuraciones predeterminadas de SonarQube, además de usar firewalls y otras soluciones de seguridad son prácticas altamente recomendables.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
