Récemment, le Federal Bureau of Investigation (FBI) a envoyé une alerte de sécurité indiquant que des pirates informatiques exploitent des applications mal configurées pour accéder à et voler des codes sources d’agences gouvernementales et d’entreprises privées américaines. Cependant, le bureau avance que les intrusions ne seraient pas dues à des failles de sécurité, mais plutôt à des oublis/erreurs de configuration des outils de gestion de code source utilisant le logiciel libre SonarQube.
Selon l’alerte du FBI, des intrusions ont lieu depuis au moins avril 2020. Les informations ont été rendues publiques le mois dernier, sous la forme d’un communiqué publié sur son site web. Le document avertit spécifiquement les propriétaires de SonarQube, une application web que les entreprises intègrent dans leurs chaînes de développement de logiciels pour tester le code source en continu et découvrir les failles de sécurité avant de déployer le code et les applications dans les environnements de production.
Étant donné qu’il s’agit d’un logiciel utilisé dans le monde entier, cette vulnérabilité concerne probablement d’autres entreprises de développement basées dans d’autres pays que les États-Unis. Les applications SonarQube sont installées sur des serveurs web et connectées à des systèmes d’hébergement de code source comme BitBucket, GitHub ou GitLab, etc. Mais le FBI indique que certaines entreprises ont laissé ces systèmes sans protection, fonctionnant avec leur configuration par défaut (sur le port 9000) avec des identifiants d’administration par défaut (admin/admin).
Les responsables du FBI affirment que les acteurs de la menace ont abusé de ces mauvaises configurations pour accéder aux instances de SonarQube, basculer vers les dépôts de code source connectés, puis accéder et voler des applications propriétaires ou privées.
Le FBI a notamment fourni deux exemples d’incidents :
« En août 2020, des acteurs de menaces inconnues ont divulgué des données internes de deux organisations par le biais d’un outil de dépôt de cycle de vie public. Les données volées provenaient d’instances SonarQube qui utilisaient des paramètres de port par défaut et des identifiants d’administration fonctionnant sur les réseaux des organisations concernées ».
« Cette activité est similaire à une précédente fuite de données en juillet 2020, dans laquelle un cyberacteur identifié a exfiltré le code source propriétaire d’entreprises par le biais d’instances SonarQube mal sécurisées et a publié le code source exfiltré sur un dépôt public autohébergé ».
Le communiqué du FBI touche à un problème peu connu des développeurs de logiciels et des chercheurs en sécurité. Alors que l’industrie de la cybersécurité a souvent mis en garde contre les dangers de laisser les bases de données MongoDB ou Elasticsearch exposées en ligne sans mot de passe, SonarQube a échappé à la vigilance.
Plus de 30% d’instances vulnérables
Cependant, certains chercheurs en sécurité ont mis en garde contre les dangers de laisser les applications SonarQube exposées en ligne avec des identifiants par défaut depuis mai 2018. À l’époque, le chasseur de brèches dans les données, Bob Diachenko, avait averti qu’environ 30 à 40% des quelque 3000 instances de SonarQube disponibles en ligne à l’époque n’avaient pas de mot de passe ou de mécanisme d’authentification activé.
After @zackwhittaker covered EE leak, I ran a couple of queries on Sonarqube. Shocked to see more than 3K+ instances available, with roughly 30-40% of them set without auth, and almost half of those containing source code with prod data. Big names involved, another area to cover. pic.twitter.com/tKBRLOYzq1
— Bob Diachenko (@MayhemDayOne) May 16, 2018
Cette année, un chercheur suisse en sécurité informatique, Till Kottmann, a également soulevé la même question des instances mal configurées de SonarQube. Tout au long de l’année, Kottmann a rassemblé sur un portail public le code source de dizaines d’entreprises technologiques, dont beaucoup provenaient d’applications SonarQube.
« La plupart des utilisateurs semblent ne modifier absolument aucun des paramètres, qui sont en fait correctement expliqués dans le guide de configuration de SonarQube », a déclaré Kottmann à ZDNet. « Je ne connais pas le nombre actuel d’instances SonarQube exposées, mais je doute que cela ait beaucoup changé. Je pense qu’il y a encore plus de 1000 serveurs (indexés par Shodan) qui sont « vulnérables », soit parce qu’ils ne nécessitent pas d’autorisation, soit parce qu’ils laissent les identifiants par défaut ».
The source code of @novasolutionsys has been published on a public repo.
Among the contents there are the mobile application source codes of Mexican banks like:
– @Citibanamex
– @BancoSabadellMX
– @BanCoppelThe data was allegedly taken from a misconfigured SonarQube instance. pic.twitter.com/yn48OrtWFI
— Bank Security (@Bank_Security) August 18, 2020
Le document du FBI énumère une série de mesures que les entreprises peuvent prendre pour protéger leurs serveurs SonarQube, afin d’éviter de telles fuites, en commençant par modifier la configuration et les références par défaut de l’application, puis en utilisant des pare-feu pour empêcher les utilisateurs non autorisés d’accéder à l’application. Cependant, comme l’indiquent les experts, la documentation de SonarQube explique pourtant très bien comment configurer la plupart des éléments de sécurité.