网传 SonarQube 平台漏洞被利用，大量源码泄露-低调大师

网传 SonarQube 平台漏洞被利用，大量源码泄露

2021-10-28 1467

2021 年 10 月 28 日，公众号“红数位”发文称 20 日未知攻击者入侵博世 iSite 服务器，窃取并泄露了这家制造巨头的 5G 物联网连接平台的源代码。

根据 cybernews 的说法，入侵者称其利用 SonarQube 平台的 0 Day 漏洞获取这些信息，并公布了一些入侵过程的截图，且承诺未来会在黑客论坛公布详细的侵入过程。

入侵者在 184 KB 的文件中共享了 iSite 服务器的源代码，其中包括 11 个文件夹，涉及 iSite 身份验证、消息服务、以及多种用 JavaScript 编写的设备控制器服务。

除了公司机密类数据外，泄露出来的博世 iSite 文件似乎不包含可识别的个人用户信息，例如博世员工的帐户或其他敏感的个人数据。

由于 SonarQube 作为平台用于为源代码进行安全扫描，所以黑客得以接触博世 iSite 源码，根据红数位的报导，目前不止这一家遭到泄露：

23 号：入侵者声称拿到我国疾控中心 HIS 源码。

25 日，发帖人声称获得了梅赛德斯-奔驰中国部分开发源码。

26 号：发帖人声称公开的是我公安系统的医疗、保险、人事的 SRC 源码。

目前的情况是由于入侵者与博世的赎金谈判失败，这些档案有可能已经完全泄露。

提醒使用 SonarQube 的单位，请务必做好服务器的信息安全工作。

微信关注我们

原文链接：https://www.oschina.net/news/166232/bosch-sonarqube-attacks

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

安全日报：apache http 组件修复，乐购网遭黑客攻击

报告编号：B6-2021-102799 报告来源：360CERT 报告作者：360CERT 更新日期：2021-10-27 Vulnerability | 漏洞 F5 Traffix SDC 修复 apache http组件漏洞 https://support.f5.com/csp/article/K20622400 CVE-2021-42258: BQE BillQuick SQL注入漏洞安全更新 https://www.huntress.com/blog/threat-advisory-hackers-are-exploiting-a-vulnerability-in-popular-billing-software-to-deploy-ransomware CVE-2021-40865: Apache Storm Worker未受权反序列化漏洞安全更新 https://seclists.org/oss-sec/2021/q4/45 Security Incident|安全事件针对巴以地区长达三年的攻击活动揭露 https://cert.360.cn/warning/detail...

2021-10-28

667

近日，为企业提供客观行业洞察的 Gartner 公司正式发布了2021年《CPaaS 市场指南（Market Guide for Communications Platform as a Service）》研究报告。其中，网易云信被列为代表性供应商之一，首次被纳入该报告。 CPaaS 是开放的云通信平台，开发者能更容易将 API 驱动的通信和微服务添加到应用程序中，而无需自行构建后端基础设施。通过 CPaaS，各类通信功能集成到应用和服务之中变得更加便捷可行。 Gartner报告指出：“在2020与2021近两年的全球新冠肺炎疫情推动下，CPaaS 市场在过去5年内已实现了至少30%的增速。预计到2025年之前 CPaaS 市场仍将继续保持 30% 左右的年均复合增长率。企业意识到利用 CPaaS 来构建数字化的 DNA 以实现线上互动，并推动业务效率的提升。网易云信拥有丰富而全面的通信产品矩阵，覆盖统一通信、5G 消息平台、低延时直播、实时音视频等多个维度。人工智能也是网易云信重要的战略方向，在基于 AI 的音视频优化方面受到广泛认可。除此之外，网易云信在通信安全领域处于行业领先...

2021-10-28

476

资源下载

更多资源

优质分享App

近一个月的开发和优化，本站点的第一个app全新上线。该app采用极致压缩，本体才4.36MB。系统里面做了大量数据访问、缓存优化。方便用户在手机上查看文章。后续会推出HarmonyOS的适配版本。

腾讯云软件源

为解决软件依赖安装时官方源访问速度慢的问题，腾讯云为一些软件搭建了缓存服务。您可以通过使用腾讯云软件源站来提升依赖包的安装速度。为了方便用户自由搭建服务架构，目前腾讯云软件源站支持公网访问和内网访问。

Spring

Spring框架（Spring Framework）是由Rod Johnson于2002年提出的开源Java企业级应用框架，旨在通过使用JavaBean替代传统EJB实现方式降低企业级编程开发的复杂性。该框架基于简单性、可测试性和松耦合性设计理念，提供核心容器、应用上下文、数据访问集成等模块，支持整合Hibernate、Struts等第三方框架，其适用范围不仅限于服务器端开发，绝大多数Java应用均可从中受益。

Sublime Text

Sublime Text具有漂亮的用户界面和强大的功能，例如代码缩略图，Python的插件，代码段等。还可自定义键绑定，菜单和工具栏。Sublime Text 的主要功能包括：拼写检查，书签，完整的 Python API ， Goto 功能，即时项目切换，多选择，多窗口等等。Sublime Text 是一个跨平台的编辑器，同时支持Windows、Linux、Mac OS X等操作系统。