作者 | KubeSphere云原生

来源 | https://mp.weixin.qq.com/s/6dg51fKgLjSQTjmyFWl4DA

2021 年 10 月 22 日，国外知名媒体 cybernews[1] 发文称，有未知攻击者攻击并渗透了博世 iSite 的服务器，并盗取了这家制造业巨头的 5G 物联网连接平台的源代码。

攻击者声称通过利用 SonarQube 的零日漏洞获取了这些源代码，并提供了详细的入侵过程截图和盗取到的源代码文件截图。

遭殃的不止是这一家公司，攻击者 25 号声称梅赛德斯-奔驰中国部门的部分源代码也被他们窃取了。

26 号，攻击者又拿到了中国公安系统的医疗平台、保险和人事的 SRC 源码。

目前攻击是否还在继续，我们无法得知，目前已知的就是攻击者利用了 SonarQube 的零日漏洞进行入侵，而且攻击的都是我国的机构和企业。

目前该漏洞 (CNVD-2021-84502) 已被收录进了国家信息安全漏洞共享平台 (CNVD)[2]，并公开了漏洞细节。如果您正在学习Spring Cloud，推荐一个连载多年还在继续更新的免费教程：https://blog.didispace.com/spring-cloud-learning/

漏洞详情

SonarQube 是一种主流的代码质量持续检测工具，可以集成不同的测试工具、代码分析工具以及持续集成工具。通过不同的插件对分析结果进行再加工处理，通过量化的方式度量代码质量的变化，并将结果展现到 SnoarQube 可视化界面。

SonarQube 系统存在未授权访问漏洞，缺少对 API 接口访问的鉴权控制。该漏洞是由于 SnoarQube 系统配置不当，导致平台项目暴露在公网当中，攻击者利用该漏洞在未授权的情况下访问公网 API 接口，使用系统默认配置口令进入平台，下载源代码文件，获取系统敏感信息。另外，如果您正在学习Spring Cloud，推荐一个连载多年还在继续更新的免费教程：https://blog.didispace.com/spring-cloud-learning/

CNVD 将该漏洞的危害级别评为“高危”！

由此可见，大家的应用和服务最好不要暴露到公网，假设某个软件有漏洞，你就会成为攻击者的靶子。

漏洞影响范围

该漏洞影响的 SnoarQube 版本包括：

• SnoarQube 开源版 <= 9.1.0.47736

• SonarQube 稳定版 <= 8.9.3

处理建议

KubeSphere 用户请注意，如果您已将 SonarQube 集成到 KubeSphere 流水线中，您可以直接在 Console 界面上查看常见的代码问题。

我们强烈建议您不要将 KubeSphere 的 Console 界面和 SonarQube 的控制台暴露到公网中，以免给了攻击者可乘之机。

建议大家关注 SonarQube 官方通告，目前 KubeSphere 社区也正在实时跟踪相关动态，并新建了相关 issue[3] 来探讨版本升级的事项，大家可以通过 issue 关注我们的更新进度。

引用链接

[1]cybernews: https://cybernews.com/news/threat-actors-leak-bosch-isite-platform-source-code/

[2]国家信息安全漏洞共享平台 (CNVD): https://www.cnvd.org.cn/flaw/show/CNVD-2021-84502

[3]相关 issue: https://github.com/kubesphere/helm-charts/issues/193

往期推荐

年入200万的华人程序员，过了30岁就成傻逼了？

浪潮的加班标语炸了，这是顶风作案？网传：1月加班87小时还要扣工资？

如果MySQL的自增 ID 用完了，怎么办？

手磨14nm咖啡，传播性病给60%的实习团队！这样的简历，90%的公司抛出橄榄枝？

我精通各种技术体系，因已45岁求职难！

技术交流群

最近有很多人问，有没有读者交流群，想知道怎么加入。加入方式很简单，有兴趣的同学，只需要点击下方卡片，回复“加群“，即可免费加入我们的高质量技术交流群！

点击阅读原文，送你免费Spring Boot教程！