0x00 漏洞概述

　　2021年11月5日，國(guó)家信息安全漏洞共享平臺(tái)（CNVD）收錄了SonarQube系統(tǒng)未授權(quán)訪問(wèn)漏洞（CNVD-2021-84502）。攻擊者可以利用此漏洞在未授權(quán)的情況下獲取敏感代碼數(shù)據(jù)。目前SonarQube公司已經(jīng)發(fā)布了此漏洞的補(bǔ)丁，但漏洞的利用細(xì)節(jié)已公開(kāi)。

　　0x01 漏洞詳情

　　SonarQube是一個(gè)開(kāi)源代碼質(zhì)量管理和分析審計(jì)平臺(tái)，支持包括Java，C#，C/C++，PL/SQL，Cobol，JavaScript，Groovy等二十多種編程語(yǔ)言的代碼質(zhì)量管理，可以對(duì)項(xiàng)目中的重復(fù)代碼、程序錯(cuò)誤、編寫(xiě)規(guī)范、安全漏洞等問(wèn)題進(jìn)行檢測(cè)，并將結(jié)果通過(guò)SonarQube Web界面進(jìn)行呈現(xiàn)。

　　SonarQube 系統(tǒng)在默認(rèn)配置下，會(huì)將通過(guò)審計(jì)的源代碼上傳至SonarQube平臺(tái)。由于SonarQube缺少對(duì)API接口訪問(wèn)的鑒權(quán)控制，導(dǎo)致攻擊者可以在未授權(quán)的情況下通過(guò)訪問(wèn)上述API接口，獲取SonarQube平臺(tái)上的程序源代碼，造成項(xiàng)目源代碼數(shù)據(jù)泄露風(fēng)險(xiǎn)。

　　2021年10月以來(lái)，啟明星辰監(jiān)測(cè)到境外黑客組織AgainstTheWest（簡(jiǎn)稱“ATW”）針對(duì)SonarQube平臺(tái)進(jìn)行攻擊，竊取了我國(guó)多家政企機(jī)構(gòu)的信息系統(tǒng)源代碼，并在國(guó)外黑客論壇RaidForums上進(jìn)行非法售賣。

　　早在2020年4月，聯(lián)邦調(diào)查局（FBI）就發(fā)現(xiàn)黑客利用SonarQube從美國(guó)各個(gè)行業(yè)和政府機(jī)構(gòu)竊取數(shù)據(jù)。

　　影響范圍

　　SonarQube < 8.6

　　0x02 處置建議

　　目前SonarQube公司已經(jīng)修復(fù)了此漏洞，建議升級(jí)更新到SonarQube 8.6或更高版本。

　　緩解措施：

　　更改SonarQube默認(rèn)設(shè)置，包括更改默認(rèn)管理員用戶名、密碼和端口（9000）。

　　配置開(kāi)啟認(rèn)證功能，構(gòu)建雙因素認(rèn)證，并檢查未經(jīng)授權(quán)的用戶是否訪問(wèn)了該實(shí)例。

　　如果可行，撤銷對(duì)在 SonarQube 實(shí)例中公開(kāi)的任何應(yīng)用程序編程接口密鑰或其他憑據(jù)的訪問(wèn)權(quán)限。

　　將SonarQube實(shí)例配置為組織的防火墻和其他外圍防御之后，以防止未經(jīng)身份驗(yàn)證的訪問(wèn)。

　　0x03 參考鏈接

　　https://mp.weixin.qq.com/s/BSnfaLJX7cuIt3ZfuxpKTA

　　https://mp.weixin.qq.com/s/mcYlZVGnm9Ubty1qWx3sCQ

　　https://docs.sonarqube.org/latest/setup/get-started-2-minutes/

https://www.bleepingcomputer.com/news/security/fbi-hackers-stole-government-source-code-via-sonarqube-instances/