상세 컨텐츠

본문 제목

해커들, SonarQube 인스턴스 통해 정부 소스코드 훔쳐

국내외 보안동향

by 알약4 2020. 10. 28. 09:00

본문

FBI: Hackers stole government source code via SonarQube instances

 

FBI가 해커가 인터넷에 노출된 보호되지 않은 SonarQube 인스턴스에서 미 정부 기관 및 기업 조직의 데이터를 훔치려 시도한다는 경고를 발행했습니다.

 

SonarQube는 프로그래밍 언어 27개를 사용해 개발된 프로젝트 내 보안 취약점을 찾기 위해 사용하는 코드 품질 자동 감사 및 정적 분석 오픈소스 플랫폼입니다.

 

공격자들은 20204월부터 취약한 SonarQube 서버를 악용했으며, 정부와 기업이 소유한 데이터 소스코드 저장소에 대한 접근 권한을 얻어 해당 코드를 추출하여 공개적으로 게시했습니다.

 

회사 수십 곳, 이미 소스코드 유출돼

 

FBI는 공격이 시작된 이후 공격자가 SonarQube의 구성 취약점을 악용한 공격을 여러 차례 발견했다고 밝혔습니다.

 

“20204, FBI는 미 정부 기관 및 미국 민간 기업의 보호되지 않은 SonarQube 인스턴스와 관련 있는 소스코드가 유출된 것을 발견했습니다. 기술, 금융, 소매, 식품, 온라인쇼핑, 제조 분야의 다양한 민간 기업이 피해를 입었습니다.”

 

FBI는 위에 언급한 공격에 대해 자세한 내용을 공개하지는 않았지만, Bleeping Computer는 지난 7월경 여러 기업의 소스코드가 도난 당해 온라인으로 유출된 사건에 주목했습니다.

 

개발자이자 리버스 엔지니어인 Tillie KottmannGitLab 저장소에서 Microsoft, Adobe, Lenovo, AMD, Qualcomm, Motorola, Hisilicon (owned by Huawei), Mediatek, GE 어플라이언스, Nintendo, Roblox, Disney 등 기업의 유출된 코드를 수집 및 공개했습니다.

 

Kottmann은 현재 SonarQube를 적절히 보호하지 않아 그들의 소스코드를 노출시키는 회사 수천 곳이 있다고 밝혔습니다.

 

Kottmann은 지난 8월 이전에 해당 회사의 서버를 해킹했다고 주장하는 Anonymous Source로부터 데이터를 넘겨받은 후, 인텔의 기밀 문서 약 20GB 상당을 유출했습니다.

 

인텔은 이에 대해 아래와 같이 밝혔습니다.

 

해당 데이터는 Intel Resource and Design Center에서 정보가 유출된 것으로 보입니다. 이는 접근 권한을 가진 고객, 파트너, 외부 당사자가 사용할 수 있도록 정보를 호스팅합니다.”

 

이전에 실행된 공격 및 완화 조치

 

FBI는 공격자가 디폴트 포트 번호 (: 9000)를 사용하여 인터넷에 노출된 SonarQube 인스턴스를 스캔 후 공격을 실행한다고 설명했습니다.

 

공격자가 노출된 서버를 발견하면 기본 관리자 자격 증명을 사용하여 취약한 인스턴스에 접근하려 시도합니다.

 

FBI는 피해자를 밝히지는 않았지만 2가지 사건을 강조했습니다. 하나는 공격자가 식별된 경우, 하나는 아직 알려지지 않은 경우입니다.

 

- 20207, 신원이 확보된 사이버 공격자가 보안이 허술한 기업의 SonarQube에서 독점 소스코드를 추출해 자체 호스팅하는 공개 저장소에 게시했습니다.


- 20208, 알려지지 않은 공격자가 공용 라이프사이클 저장소 툴을 통해 두 조직의 내부 데이터를 유출했습니다. 훔친 데이터는 조직 네트워크에서 실행되며 디폴트 포트 설정 및 관리자 자격 증명을 사용한 SonarQube 인스턴스에서 가져온 것이었습니다.

 

FBI는 공격을 차단하기 위한 완화 조치를 아래와 같이 공개했습니다.

 

- 기본 관리자 계정, 비밀번호, 포트(9000)를 포함한 SonarQube의 기본 설정 변경


- SonarQube 인스턴스를 로그인 스크린의 뒤쪽에 배치하고, 권한이 없는 사용자가 인스턴스에 접근했는지 확인


- 가능할 경우 SonarQube 인스턴스에 노출된 모든 애플리케이션 프로그래밍 인터페이스 키 또는 다른 자격 증명에 대한 접근 권한 취소


- 무단 접근을 차단하기 위해 SonarQube 인스턴스를 조직의 방화벽 및 기타 경계 방어 장치의 뒤쪽에 위치하도록 구성

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/fbi-hackers-stole-government-source-code-via-sonarqube-instances/

https://beta.documentcloud.org/documents/20399900-fbi_flash_sonarqube_access_bc


관련글 더보기

댓글 영역