2021年11月21日，國家互聯網應急中心CNCERT發布“關于近期境外黑客組織攻擊我國多個企業竊取源代碼數據的通報”，內容如下：

  2021年10月以來，國家計算機網絡應急技術處理協調中心（以下簡稱“CNCERT”）監測發現，有黑客組織利用SonarQube軟件的漏洞，對我國多個企業發起攻擊，竊取了我金融、醫療等重要領域信息系統源代碼數據，并在境外互聯網進行非法售賣。CNCERT協調受攻擊企業配合開展現場取證，分析判斷該黑客組織來自境外。

  該黑客組織的上述行為嚴重侵犯我企業知識產權，對我我國國家安全和企業利益造成嚴重威脅。CNCERT呼吁該黑客組織立即停止網絡攻擊行為。建議相關人員一旦發現我境內網絡安全漏洞和威脅后，積極向CNCERT通報相關情況，聯系郵箱為cncert@cert.org.cn。

  同時，CNCERT提醒境內使用SonarQube軟件的相關單位及時采取措施，修復漏洞，防范網絡攻擊行為。

（下文，是安數網絡對SonnarQube及漏洞的簡單介紹）

 
關于SonarQube
  SonarQube是一個開源代碼質量管理和分析審計平臺，支持包括Java，C#，C/C++，PL/SQL，Cobol，JavaScript，Groovy等二十余種編程語言的代碼質量管理，可以對項目中的重復代碼、程序錯誤、編寫規范、安全漏洞等問題進行檢測，并將結果通過SonarQube Web界面進行呈現。
 
SonarQube系統未授權訪問漏洞（CNVD-2021-84502）
  2021年11月5日，國家信息安全漏洞共享平臺（CNVD）收錄了SonarQube系統未授權訪問漏洞（CNVD-2021-84502）。攻擊者利用該漏洞，可在未授權的情況下獲取敏感代碼數據。目前，漏洞利用細節已公開，SonarQube公司已發布補丁修復該漏洞。CNVD建議受影響用戶盡快更新至最新版本避免漏洞攻擊威脅。
 
  1. 漏洞情況分析
  SonarQube系統在默認配置下，會將通過審計的源代碼上傳至SonarQube平臺。由于SonarQube缺少對API接口訪問的鑒權控制，攻擊者利用該漏洞，可在未授權的情況下通過訪問上述API接口，獲取SonarQube平臺上的程序源代碼，構成項目源代碼數據泄露風險。
  CNVD對該漏洞的綜合評級為“高危”。
 
  2. 漏洞影響范圍
  漏洞影響的產品版本包括：
  SnoarQube SnoarQube開源版 <= 9.1.0.47736
  SonarQube SonarQube穩定版 <= 8.9.3 

  3. 漏洞危害
  境外媒體相繼爆料多起源代碼泄露事件，涉及我國多個機構和企業的SonarQube代碼審計平臺。
 
  4. 漏洞處置建議
  目前，SonarQube公司已發布新版本修復該漏洞，CNVD建議用戶盡快進行自查，并及時升級至最新版本，同時可根據業務情況，加設或調整部署于公網的系統訪問策略。

  附參考鏈接：
  https://www.cert.org.cn/publish/main/9/2021/20211121170349483356572/20211121170349483356572_.html
  https://www.cnvd.org.cn/flaw/show/CNVD-2021-84502
  https://docs.sonarqube.org/latest/setup/get-started-2-minutes/
  https://blog.sonarsource.com/public-response-code-leaks
 
  如果不便于升級，也可以采用以下緩解措施：
  1）更改默認設置，包括更改默認管理員用戶名、密碼和端口（9000）。
  2）將 SonarQube 實例放在登錄屏幕后面，并檢查未經授權的用戶是否訪問了該實例。
  3）如果可行，撤消對 SonarQube 實例中公開的任何應用程序編程接口密鑰或其他憑據的訪問權限。
  4）將 SonarQube 實例配置為位于組織的防火墻和其他外圍防御之后，以防止未經身份驗證的訪問。
 

及時掌握網絡安全態勢 盡在傻蛋網絡安全監測系統

【網絡安全監管部門】免費試用

本文來源:國家互聯網應急中心

如涉及侵權，請及時與我們聯系，我們會在第一時間刪除或處理侵權內容。
電話：400-869-9193 負責人：張明