警告:攻击者利用 SonarQube 漏洞盗取国内多个机构的大量源码!
作者 | KubeSphere云原生
来源 | https://mp.weixin.qq.com/s/6dg51fKgLjSQTjmyFWl4DA
2021 年 10 月 22 日,国外知名媒体 cybernews[1] 发文称,有未知攻击者攻击并渗透了博世 iSite 的服务器,并盗取了这家制造业巨头的 5G 物联网连接平台的源代码。
攻击者声称通过利用 SonarQube 的零日漏洞获取了这些源代码,并提供了详细的入侵过程截图和盗取到的源代码文件截图。
遭殃的不止是这一家公司,攻击者 25 号声称梅赛德斯-奔驰中国部门的部分源代码也被他们窃取了。
26 号,攻击者又拿到了中国公安系统的医疗平台、保险和人事的 SRC 源码。
目前攻击是否还在继续,我们无法得知,目前已知的就是攻击者利用了 SonarQube 的零日漏洞进行入侵,而且攻击的都是我国的机构和企业。
目前该漏洞 (CNVD-2021-84502) 已被收录进了国家信息安全漏洞共享平台 (CNVD)[2],并公开了漏洞细节。如果您正在学习Spring Cloud,推荐一个连载多年还在继续更新的免费教程:https://blog.didispace.com/spring-cloud-learning/
漏洞详情
SonarQube 是一种主流的代码质量持续检测工具,可以集成不同的测试工具、代码分析工具以及持续集成工具。通过不同的插件对分析结果进行再加工处理,通过量化的方式度量代码质量的变化,并将结果展现到 SnoarQube 可视化界面。
SonarQube 系统存在未授权访问漏洞,缺少对 API 接口访问的鉴权控制。该漏洞是由于 SnoarQube 系统配置不当,导致平台项目暴露在公网当中,攻击者利用该漏洞在未授权的情况下访问公网 API 接口,使用系统默认配置口令进入平台,下载源代码文件,获取系统敏感信息。另外,如果您正在学习Spring Cloud,推荐一个连载多年还在继续更新的免费教程:https://blog.didispace.com/spring-cloud-learning/
CNVD 将该漏洞的危害级别评为“高危”!
由此可见,大家的应用和服务最好不要暴露到公网,假设某个软件有漏洞,你就会成为攻击者的靶子。
漏洞影响范围
该漏洞影响的 SnoarQube 版本包括:
SnoarQube 开源版 <= 9.1.0.47736
SonarQube 稳定版 <= 8.9.3
处理建议
KubeSphere 用户请注意,如果您已将 SonarQube 集成到 KubeSphere 流水线中,您可以直接在 Console 界面上查看常见的代码问题。
我们强烈建议您不要将 KubeSphere 的 Console 界面和 SonarQube 的控制台暴露到公网中,以免给了攻击者可乘之机。
建议大家关注 SonarQube 官方通告,目前 KubeSphere 社区也正在实时跟踪相关动态,并新建了相关 issue[3] 来探讨版本升级的事项,大家可以通过 issue 关注我们的更新进度。
引用链接
[1]cybernews: https://cybernews.com/news/threat-actors-leak-bosch-isite-platform-source-code/
[2]国家信息安全漏洞共享平台 (CNVD): https://www.cnvd.org.cn/flaw/show/CNVD-2021-84502
[3]相关 issue: https://github.com/kubesphere/helm-charts/issues/193
往期推荐
年入200万的华人程序员,过了30岁就成傻逼了?
浪潮的加班标语炸了,这是顶风作案?网传:1月加班87小时还要扣工资?
如果MySQL的自增 ID 用完了,怎么办?
手磨14nm咖啡,传播性病给60%的实习团队!这样的简历,90%的公司抛出橄榄枝?
我精通各种技术体系,因已45岁求职难!
技术交流群
最近有很多人问,有没有读者交流群,想知道怎么加入。加入方式很简单,有兴趣的同学,只需要点击下方卡片,回复“加群“,即可免费加入我们的高质量技术交流群!
点击阅读原文,送你免费Spring Boot教程!
警告:攻击者利用 SonarQube 漏洞盗取国内多个机构的大量源码!相关推荐
- 浅谈境外黑客组织利用SonarQube漏洞攻击事件
随着软件产业的快速发展,现代软件大多数是被"组装"出来的,不是被"开发"出来的.各类信息系统的软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题, ...
- 利用SpringBoot和Vue实现前后端分离(附源码)
利用SpringBoot和Vue实现前后端分离(附源码) 引言: 本文主要分享了SpringBoot和Vue整合实现前后端分离,实现了简单的增删查改:包括:项目的搭建.后端的实现.前台的实现:(附源码 ...
- Android录屏并利用FFmpeg转换成gif(二)交叉编译FFmpeg源码
Android录屏并利用FFmpeg转换成gif(二) 写博客时经常会希望用一段动画来演示app的行为,目前大多数的做法是在电脑上开模拟器,然后用gif录制软件录制模拟器屏幕,对于非开发人员来讲这种方 ...
- Android Studio App开发之下载管理器DownloadManager中显示、轮询下载进度、利用POST上传文件讲解及实战(附源码)
运行有问题或需要源码请点赞关注收藏后评论区留言~~~ 一.在通知栏显示下载进度 利用GET方式读取数据有很多缺点比如1:无法端点续传 一旦中途失败只能重新获取 2:不是真正意义上的下载操作 无法设置参 ...
- php源代码被公开漏洞,dede目录列表漏洞_页面存在源代码泄露_发现源码泄露
之前在安全联盟站长平台用检查了一下自己的网,发现了自己的网站有一堆漏洞(页面存在源代码泄露).如图: 然后在百度site的时候也现实中危提示,看起来很不爽,你要知道,自己维护的网站,还出现一个危险提示 ...
- java代码编译时修改行为_GitHub - niuzhihua/AST_demo: 利用JavaParser框架在编译时修改语法树(源码)的 demo...
本例子展示了如下功能: 1.删除方法中的 打印日志代码. 2.删除指定的 方法 和 成员变量. 3.检测方法中 是否有 new Thread 代码. 4.生成新的类和方法.并在运行时验证. 5.解析 ...
- WAP中利用截取手机号码达到自动登入的一段源码(转)
有做WAP网站的可以学习下. t1=timer() usephones=Request.ServerVariables("HTTP_X_UP_CALLING_LINE_ID") w ...
- 利用算法轻松预测用户贷款是否违约(附 Python 源码)
大家好,最近一张"因疫情希望延缓房贷"的截图在网上流传,随即引起网友们的热议! 当借款人从贷款机构借钱而不能如期还贷款时,就可能会发生贷款违约.拖欠贷款不仅会上报征信,还可能有被起 ...
- 小伙子利用c++实现LOL无限视距并免费送上源码,网友:真香!
大家都知道,lol这款游戏在2010年就正式上线了,到现在已经陪伴了各位撸友度过了几千个寂寞的日日夜夜.很多网友朋友都是从刚读书时开始玩,直到工作.结婚,可以说这款游戏真的承载了很多90后网友的青春! ...
最新文章
- 获得客户端的时区(get client-side time zone by JS)
- c 语言实现汇文, 瞎写
- 电脑ping不通 plsql能连上_台式电脑不能上网手机却能连上wifi无线网络的解决方法...
- c++ vector注意事项
- 关于多网络时钟的讨论
- Apache Kafka简介
- ecshop常用二次开发修改
- Unity导入3D模型的过程与方法
- centos php日志分析,Centos日志查看分析
- tomcat与mysql分离部署_apache+tomcat+mysql 实现动静分离
- MATLAB连接SQLServer和MySql数据库
- 用WPF+MongoDB开发房产信息收集器(3)——MongoDB入门
- 4.21 使用剪切蒙版命令制作可爱的皮球 [Illustrator CC教程]
- 从零部署Linux服务器完全指南2022版(CentOS 8+Nginx+PHP)
- 小程序如何获取后端的数据
- 应用bootstrap模板
- 软件测试工资一般多少 即使测试刚入行,起步月薪也会在8k-9k
- 编程题——Fibonacci数列
- IAR 显示行号设置
- 勉励-----计算机科学专业的同学,你应该会什么
热门文章
- WCF的三个名称/命名空间,你是否傻傻分不清楚?
- Java线程Dump分析工具--jstack
- java 使用 idea 调试 ysoserial
- linux 反弹shell(一)文件描述符与重定向
- linux gcc 与 glibc 的关系 glibc版本查看
- See system logs and 'systemctl status xxx.service' for details.错误的解决方法
- 探究C/C++可变参数
- Linux C编程--进程介绍5--system函数
- Ubuntu下安装JDK1.7
- mysql 存储过程 输出warning_如何抑制MySQL存储过程的输出?