Segundo o BleepingComputer, os servidores vulneráveis SonarQube têm sido ativamente explorados por invasores desde abril de 2020 para obter acesso a repositórios de código-fonte de dados pertencentes a entidades governamentais e corporativas, posteriormente exfiltrando-os e divulgando-os publicamente. Dezenas de empresas já tiveram seu código-fonte vazado.
A notícia informa ainda que o FBI afirma ter identificado vários desses incidentes em que os atacantes abusaram das vulnerabilidades de configuração do SonarQube desde o início dos ataques. Os atores da ameaça começam seus ataques verificando primeiro as instâncias do SonarQube expostas na Internet usando o número da porta padrão (ou seja, 9000), segundo o FBI. Após descobrir um servidor exposto, eles tentam obter acesso a instâncias vulneráveis usando credenciais padrão de administrador.
Além de agências governamentais, as empresas privadas americanas afetadas atuam nos setores de tecnologia, finanças, varejo, alimentos, comércio eletrônico e manufatura. O FBI fornece as seguintes medidas de mitigação para bloquear ataques:
• Altere as configurações padrão do SonarQube, incluindo a alteração do nome de usuário, senha e porta padrão do administrador (9000);
• Coloque as instâncias do SonarQube atrás de uma tela de login e verifique se usuários não autorizados acessaram a instância;
• Revogue o acesso a qualquer tecla de interface de programação de aplicativo ou outras credenciais que foram expostas em uma instância SonarQube, se possível;
• Configure as instâncias do SonarQube para ficarem atrás do firewall e outras defesas de perímetro, evitando o acesso não autenticado.