SonarQube漏洞致我国大量源码泄露事件分析

0x01 事件概况

   近几年来360对全球网络安全威胁、风险等动态监测中发现了若干起源代码泄露、数据泄露、机密文件泄露、隐私相片泄露等数据安全事件，且发现数据泄露事件愈演愈烈。

    近期360监测到境外某论坛有黑客利用SonarQube漏洞，窃取大量源码，并在论坛上公然兜售泄露代码，其中涉及我国数十家重要企业单位的应用代码，其行为极为恶劣。

监测到论坛售卖源码的部分截图：

图1 我国某单位2G源码

图2 我国某互联网金融企业

0x02 漏洞影响产品概述

SonarQube是一款开源静态代码质量分析管理工具，支持Java、Python、PHP、JavaScript、CSS等27种以上目前极为流程的编程开发语言，同时它能够便捷集成在各种IDE、Jenkins、Git等服务中，方便及时查看代码质量分析报告。该工具在github开源社区获得6.3K的关注量，在全球颇具影响力，深得全球各研发工作者的喜爱。

0x03 漏洞描述

SonarQube是一款开源静态代码质量分析管理工具，在默认配置的情况下，缺少对API 接口的访问权限控制，攻击者可利用该漏洞在未授权的情况下，通过访问api/settings/values接口从而获取到 SMTP、SVN、GitLab 凭据，进一步获取源代码数据仓库中的源代码，造成项目源代码泄露。同时还可以对使用默认账号密码的用户进行攻击，系统安装完成后，默认弱口令为admin/admin，攻击者通过输入默认账号密码，同样可以获得敏感配置信息，从而进一步窃取企业源代码。

0x04 影响版本

SonarQube <8.6

0x05 漏洞影响力分析

从CVE漏洞库中检索得知，SonarQube历史上出现过7个安全漏洞，信息泄露类漏洞占比高达25%。详细信息如图3、4所示。

图3  SonarQube历史漏洞总结

图4 SonarQube历史CVE漏洞

借助网络空间测绘引擎Quake分析发现，SonarQube全球部署量比较多的国家分别是美国、德国、爱尔兰和中国，分别占据全球安装部署总量的 44%、9%、8%、7%、4%。在国内安装部署量较多的是北京、上海、浙江、广东，分别占到了总部署量的27%、19%、14%、14%。从测绘统计的结果来看，中国境内部署着大量SonarQube组件，在全球也属前列，而国内的北京、上海、浙江、广东，是国内信息化最发达的几个省市，我国的很多重要的信息化产品均是在这几个省市中研发而来，此漏洞的爆发被泄露了众多技术源代码，严重威胁着我国公民的生产、生活安全、数据资产安全，我国是此次漏洞影响的重灾区。

图5 SonarQube全球部署量测绘统计（数据来源：360Quake）

图6 SonarQube全球部署量统计图

图7 SonarQube中国境内部署量测绘统计（数据来源：360Quake）

图8 SonarQube中国境内部署量统计图

0x06 修复及建议

1. 尽快通过参考链接中官网地址升级到最新版本。

2. 配置开启认证功能，构建双因素认证。

3. 排查并禁止使用默认端口（9000），禁止默认账号及密码。

4. 构建受限的VPN安全网络环境。

5. 构建受限地理区域访问控制。

6. 若非必要，关停互联网的访问权限。

7. 加强流量异常监测和网络安全防范。

8. 特别提醒，不要松懈、加强内网、专网的安全防范，攻击和入侵无孔不入，防不胜防。

9. 同时建议您使用360相关安全产品及服务，为您保驾护航。

0x07 总结

随着信息化的高速发展，开源软件因其功能完备、适应性强、兼容性强、可快速开发交付等特点，已成为当前软件开发中的中坚力量。但是开源软件爆发出的安全问题也一直困扰着我们，尤其是一些耦合性比较高的开源开发组件，当其被选为研发供应链的时候，其被替代的可能就会大大降低，当出现安全问题时，尤其是遇到无法彻底修复的漏洞的时候，其处理难度、处理成本会大大增加。

我国是开源组件的大量使用国，在关键基础设施领域充斥着大量开源组件的身影。根据 2020 年 Synopsys 发布的《开源安全与风险分析报告》中提到的：“2020 年包含存在漏洞的开源组件的代码库高达 84%，营销科技类公司的代码库中都包含开源组件，包括 CRM客户关系管理系统及社交媒体，其中 95%的营销科技代码库存在开源软件安全漏洞；98%的医疗保健行业代码库包含开源组件，其中有 67%的代码库存在安全漏洞；97％的金融服务/金融科技行业代码库包含开源组件，其中超过 60％的代码库存在安全漏洞；92％的零售和电子商务行业代码库包含开源组件，其中 71％的代码库存在安全漏洞”。

使用空间测绘引擎对一些高频使用的开源组件进行统计分析，如图 9、10、11所示，从统计结果可以得知，我国在开源软件的部署和使用上名列前茅，一旦发现开源组件的安全问题，我国会是首当其冲的攻击目标。

Apache httpd(提供网页浏览访问的服务器)

图9 Apache httpd全球部署分布图

Struts2（一种快速构建网站的框架）

图10 Apache Struts2全球部署分布图

ThinkPHP（一种国产快速构建网站的PHP框架）

图11 ThinkPHP全球部署分布图

根据《2021全球通用漏洞分析报告》显示，开源软件漏洞还在以递增的趋势发展，2020年开源软件漏洞数量高达4141条 。同时在《2021全球通用漏洞分析报告》也指出，即使投入大量的资金保护企业信息安全，也无法做到100%无安全漏洞，但是投入的资金越多，可以将安全风险数量降低到一个较低的区间。

我国作为一个发展中国家，在资金方面和发达国家仍然有巨大差距，加上国内近几十年信息化的迅速发展，大部分人并没有安全意识，安全人才短缺严重，导致我国面临的安全威胁在逐步扩大。

总结几条2021国内的网络安全大事件，以及几年别国对我国的APT攻击事件：

1、2021年1月5日，国外安全研究团队Cyble发现多个帖子正在出售与中国公民有关的个人数据，经分析可能来自微博、QQ等多个社交媒体，本次发现的几个帖子中与中国公民有关的记录总数超过2亿。

2、2021年4月，有网络安全团队发现一个网络犯罪论坛上发布了超过13亿条包含有关中国公民敏感信息的记录(非近期数据)。数据源包括：腾讯QQ、顺丰、京东、新浪微博、车主数据、身份证号码等信息。

3、2021年3月底，台湾宏碁遭遇勒索软件攻击，REvil组织公布了入侵宏碁系统的截图，数据涉及财务电子表格、银行结余、往来信息等文档。该组织要求宏碁支付5000万美元的赎金，以解除对这些数据的加密。

4、2020年蔓灵花（Bitter）组织近期针对我国政府部门、科研机构发起攻击。

5、2020年360安全大脑捕获了美国中央情报局CIA攻击组织（APT-C-39）对我国进行的长达十一年的网络攻击渗透。在此期间，我国航空航天、科研机构、石油行业、大型互联网公司以及政府机构等多个单位均遭到不同程度的攻击。

综上，无法舍弃的开源软件、层出不穷的安全漏洞、大量在公网开放部署软件产品、愈演愈热的来自国外的网络攻击，构成了我国当前错综复杂网络安全形势。作为网络攻击暴露面巨大的国家，我们必须不断加强网络安全建设，努力培养网络安全人才，增强网络安全意识。对拥有信息数字化的企业，应及时梳理自身数字资产、更新软件资产版本、及时修补安全漏洞、减少暴露面向互联网的资产、充分学习《关键基础设施保护条例》、《网络安全法》、《数据安全法》等一系列安全法律法规，充分构建安全的信息资产。

0x08 参考资料

1.https://quake.360.cn/

2.https://www.sonarqube.org/features/multi-languages/

3.https://github.com/SonarSource/sonarqube

4.https://github.com/SonarSource/sonarqube/search?q=vulnerability&type=issues

5.https://www.cvedetails.com/product/26632/Sonarsource-Sonarqube.html?vendor_id=12999

6.https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=SonarQube

7.https://csl.com.co/sonarqube-auditando-al-auditor-parte-i/

0x09 获取更多情报

建议您订阅360漏洞云-漏洞情报服务，获取更多漏洞情报详情以及处置建议，让您的企业远离漏洞威胁。

电话：010-52447660

邮箱：loudongyun@360.cn

网址：https://loudongyun.360.cn

360漏洞云介绍

360安全大脑漏洞云以技术为驱动，以安全专家为核心，围绕漏洞生态体系打造集漏洞监测、漏洞收集、漏洞挖掘、漏洞存储、漏洞管理、专家响应、漏洞情报预警、安全服务定制化于一体的漏洞安全一站式服务，帮助客户防患于未然，在降低资产风险的同时，大幅提升客户对漏洞感知、预警、分析等响应能力，为国家、政企客户、用户抢占风险预警处置先机，提升网络安全主动防护能力。