近期深信服安全团队监测到境外黑客组织AgainstTheWest(以下简称ATW)针对托管在外网的SonarQube平台进行了定向攻击,窃取我国重要单位源代码,并在境外论坛上进行出售。

SonarQube 是一款代码质量审计和管理分析平台,该平台存在未授权访问,信息泄露以及弱口令爆破等安全隐患,攻击者可以利用这些安全隐患实施攻击,获取SonarQube平台上的项目源代码。

通过深度分析,我国有不少SonarQube平台服务器存在一定的安全隐患并直接暴露在互联网上,ATW黑客组织就利用SonarQube存在的安全问题,针对托管在外网的SonarQube平台进行了定向攻击,导致相关单位失陷造成源码泄露。 

事件概述

2021年10月,ATW黑客团伙在境外论坛第一次出售我国单位相关系统的源代码,并称能直接访问到内部系统。随后该黑客组织又持续发布我国多家重要单位的系统源代码,并宣传泄露事件持续在进行。该黑客组织声称攻击目标主要针对中国,俄罗斯、朝鲜等国家也在其目标范围内。

ATW发布某单位系统源代码截图如下:

从11月12日起,深信服安全团队发现ATW黑客团伙入侵活动愈发频繁且猖獗,迄今为止已有近二十家单位受影响,具体情况如下图所示:

攻击分析及漏洞详情

在分析ATW入侵事件中发现,其可通过SonarQube平台的未授权访问漏洞来进行入侵。SonarQube系统在默认配置下,会将通过审计的源代码上传至SonarQube平台。由于SonarQube缺少对API接口访问的鉴权控制,攻击者利用该漏洞,可在未授权的情况下通过访问上述API接口,获取SonarQube平台上的程序源代码,构成项目源代码数据泄露风险。

SonarQube未授权访问漏洞情况如下:

漏洞描述

攻击者可以在未授权的情况下,查看SonarQube的源代码。

漏洞影响

SonarQube< 8.6。

指纹

app="sonarQube-代码管理"。

漏洞复现

在未授权的情况下,访问Projects界面,可以直接查看项目列表。

进入项目中,可直接在项目菜单Code模块看到项目代码。

随意点击代码文件,可以阅读源码。

漏洞分析

SonarQube<8.6的版本,"Force user authentication"配置默认关闭。

当此配置关闭时,任意可访问SonarQube的用户均可查看内部信息,从而导致信息泄露。

漏洞修复

登录SonarQube系统,在Administation -> Security -> Force user authentication 设置开启。

另外,除未授权访问漏洞外,分析中还发现攻击者可通过SonarQube平台的信息泄露漏洞,以及弱口令爆破的方式实施入侵,获取该部分SonarQube平台上的项目源代码。

托管于外网的SonarQube平台的服务器有大量IP地址位于我国,黑客可利用上述方法均可能导致相关单位失陷,从而发生供应链攻击。对于已经部署SonarQube平台的客户,建议如下:

1)建议客户及时升级SonarQube平台至最新版本;

2)修改SonarQube平台的默认配置,包括修改默认账号名、密码、端口号(9000),并且禁止使用弱口令;

3)审计托管在SonarQube的项目源码,若源码包含数据库配置信息、内部系统的账号密码、内部API接口等敏感信息,应及时通知相关人员进行更改;

4)禁止SonarQube平台的外网访问权限,如若必须开放外网访问,将SonarQube平台放置于防火墙等边界安全设备保护范围内,并且定期排查是否存在未授权访问的异常记录。

总结

ATM数据泄露事件,给我国在供应链安全方面敲响警钟,从raidforums论坛泄露的事件来看,本次事件中关基单位成为攻击者重点关注的对象,也再次验证了关基单位的网络产品供应链问题在当前日趋严峻的网络安全形势下日显突出,可以说供应链安全一旦出现问题会给关键信息基础设施带来严重危害。

在当今复杂的国际形式下,安全可信、可靠才是我国关键基础信息设施安全问题防患于未然的最佳选择。2021年8月17日,《关键信息基础设施安全保护条例》(以下简称《条例》)公布,标志着国家对关键信息基础设施保护工作的制度设计已经完成,充分体现了我国在相关网络安全问题的思考上的前瞻性,我们也相信未来围绕《条例》关基单位的供应链安全保护各项工作会逐一落实,到时也必然会将我国供应链安全保护工作带入全新阶段。

近期,我国整体网络安全态势是不容乐观的,随着年末将至,恶意黑客团伙开始“冲业绩”,除了ATM数据泄露事件,勒索事件也进入高发期。

深信服安全团队发现,Magniber勒索病毒对比上个月,攻击态势已经成倍数增长,表现的异常活跃,并已经发现国内部分企业被攻击。无论是数据泄露事件、还是勒索事件,黑客组织能够频频得手,反应出我国政企单位在网络安全防护方面还是缺少有效的防护措施。

近几个月,来自境外对我国的攻击也在持续增长,针对关基单位利用钓鱼等诱饵进行攻击增加最为突出,黑客组织对这样的攻击方式已经变得肆无忌惮,在这样的环境下,我国政企事业单位需要持续加强安全意识。

随着冬奥会的临近、年关将近,黑客组织的攻击次数必然会增加、攻击手法也将会多样化,对于政企单位需要做的就是提升安全防护的有效性,来应对当前日益增长网络攻击态势和复杂的国际形势。在此深信服也结合自身实践提出一些预防建议,让广大政企事业单位做到防患于未然:

1. 安全漏洞检测

近几次事件来看,企业被黑客组织攻击均与漏洞相关,因此这里也建议企业针对安全漏洞检测需要进行周期性检测,同时需要及时更新漏洞库,保障检测的全面性、有效性,对历史安全漏洞也需要进行及时修复。

2. 资产盘点梳理

通过对资产的梳理减少对外的暴露面,也是在减少黑客组织的攻击面。

3. 安全意识加强

轻易不打开来历不明的邮件、链接和网址附件等,人的安全意识往往是安全防护最薄弱的环节。

4. 安全设备策略配置

通过巡检方式保障设备已经进入保护状态,及时更新病毒、规则库,同时做好资产的访问控制策略。

5. 网络产品版本升级

定期对网络产品进行升级,并确保升级的版本是安全版本。