网传 SonarQube 平台漏洞被利用,大量源码泄露
2021 年 10 月 28 日,公众号“红数位”发文称 20 日未知攻击者入侵博世 iSite 服务器,窃取并泄露了这家制造巨头的 5G 物联网连接平台的源代码。
根据 cybernews 的说法,入侵者称其利用 SonarQube 平台的 0 Day 漏洞获取这些信息,并公布了一些入侵过程的截图,且承诺未来会在黑客论坛公布详细的侵入过程。
入侵者在 184 KB 的文件中共享了 iSite 服务器的源代码,其中包括 11 个文件夹,涉及 iSite 身份验证、消息服务、以及多种用 JavaScript 编写的设备控制器服务。
除了公司机密类数据外,泄露出来的博世 iSite 文件似乎不包含可识别的个人用户信息,例如博世员工的帐户或其他敏感的个人数据。
由于 SonarQube 作为平台用于为源代码进行安全扫描,所以黑客得以接触博世 iSite 源码,根据红数位的报导,目前不止这一家遭到泄露:
23 号:入侵者声称拿到我国疾控中心 HIS 源码。
25 日,发帖人声称获得了梅赛德斯-奔驰中国部分开发源码。
26 号:发帖人声称公开的是我公安系统的医疗、保险、人事的 SRC 源码。
目前的情况是由于入侵者与博世的赎金谈判失败,这些档案有可能已经完全泄露。
提醒使用 SonarQube 的单位,请务必做好服务器的信息安全工作。
