米連邦捜査局(FBI)が発出したセキュリティアラートによると、誤った設定で運用されている「SonarQube」アプリケーションを脅威アクターらが悪用し、米政府機関や私企業のソースコードリポジトリーにアクセスして、コードを窃盗しているという。
FBIはアラートの中で、こうした侵入行為は少なくとも2020年4月から発生していると指摘した。アラートは10月に送られ、先週ウェブサイトで公開された。
このアラートは、SonarQubeを使用している企業に対して注意を喚起するものとなっている。SonarQubeは、ソフトウェアのビルドチェーンに統合することで、コードやアプリケーションを本番環境に配備する前にソースコードをテストし、セキュリティ脆弱性を発見できるようにする、ウェブベースのアプリケーションだ。
SonarQubeアプリは、ウェブサーバーにインストールされ、「Bitbucket」「GitHub」「GitLab」アカウントなどのコードホスティングシステム、あるいは「Azure DevOps」システムに接続される。
FBIによると、一部の企業はこのシステムを保護されていない状態、すなわちデフォルトの接続設定(ポート9000)かつデフォルトの管理者資格設定(admin/admin)で運用しているという。
脅威アクターらはこれらのデフォルト設定を悪用し、SonarQubeのインスタンスにアクセスしてソースコードリポジトリーに接続した後、プロプライエタリーなコードなどに対するアクセスと窃盗を働いているという。
FBIのアラートは、ソフトウェア開発者やセキュリティ研究者があまり把握していない問題に触れているようだ。
サイバーセキュリティ業界は「MongoDB」や「Elasticsearch」データベースがパスワードなしでオンラインに公開されたままとなっていることの危険性についてたびたび警告してきたが、SonarQubeは見過ごされていたかもしれない。
それでも、一部のセキュリティ研究者は2018年5月頃より、SonarQubeアプリケーションがデフォルトの認証情報でオンラインに公開された状態となっていることの危険性について警告してきた。
After @zackwhittaker covered EE leak, I ran a couple of queries on Sonarqube. Shocked to see more than 3K+ instances available, with roughly 30-40% of them set without auth, and almost half of those containing source code with prod data. Big names involved, another area to cover. pic.twitter.com/tKBRLOYzq1
— Bob Diachenko (@MayhemDayOne) May 16, 2018
The source code of @novasolutionsys has been published on a public repo.
— Bank Security (@Bank_Security) August 18, 2020
Among the contents there are the mobile application source codes of Mexican banks like:
- @Citibanamex
- @BancoSabadellMX
- @BanCoppel
The data was allegedly taken from a misconfigured SonarQube instance. pic.twitter.com/yn48OrtWFI
FBIのアラートには、SonarQubeアプリのデフォルトの設定と資格情報を変更する、ファイアウォールを使用し、権限のないユーザーのアプリへのアクセスを防ぐといった、SonarQubeサーバーを保護するために企業が採り得る一連の手順が記載されている。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。