FBI警告：駭客藉由配置錯誤的SonarQube實例竊取政府機構與私人企業的原始碼

美國聯邦調查局（FBI）於本月中發布了緊急警報（Flash Alert），指出已有駭客鎖定配置錯誤的SonarQube實例，來存取屬於美國政府機構與私人企業的原始碼。

SonarQube為一開源的程式碼品質管理系統，它能透過程式碼的靜態分析，以自動檢查逾20種程式語言所撰寫程式碼的臭蟲、不良的程式（Code smell）與安全漏洞。

FBI指出，駭客從今年4月起就積極地鎖定SonarQube展開攻擊，他們開採已知的SonarQube配置漏洞，以存取SonarQube所存放的私有程式碼，還將它們公諸於世。

相關攻擊的受害者除了美國的許多政府機構之外，也包括科技、金融、零售、食品、電子商務與製造等領域的私人企業。而在今年8月，駭客利用公開的生命周期儲存庫工具公布了兩家組織的內部資料，而這些資料即是來自於SonarQube實例，這些實例採用預設的連結埠設定與管理憑證。

根據調查，駭客先是掃描了曝露於公開網路上的SonarQube實例，它們採用預設的9000傳輸埠，也具備一個可公開存取的IP位址，繼之再利用預設的管理憑證（使用者名稱為admin，密碼也是admin）來企圖存取這些實例。

相關攻擊其實很容易防範，管理人員只要遵從基本的安全守則就能避免遭到入侵，例如變更SonarQube的預設憑證與傳輸埠；把SonarQube實例置放在登入視窗之後，檢查是否有未經授權的使用者存取實例。而不確定是否曾遭駭客存取的組織，則應該撤銷所有存放在公開SonarQube實例中的各種API金鑰與憑證，並在SonarQube實例之前建築防火牆。

FBI指出，有關SonarQube實例因配置錯誤而使得程式碼外洩的情況，類似今年7月的事件。當時一名瑞士開發人員Tillie Kottmann對外揭露他已存取逾50家知名企業的原始碼，從微軟、Adobe、Amd到臺灣的聯發科，原因也是來自於這些業者所使用的DevOps應用程式配置不當。