SonarQube是一款開(kāi)源的代碼質(zhì)量管理系統(tǒng)��,提供軟件代碼審計(jì)功能��,在軟件開(kāi)發(fā)企業(yè)使用較多����。該系統(tǒng)在默認(rèn)配置下, 未對(duì)其API接口進(jìn)行任何訪問(wèn)控制,導(dǎo)致可不經(jīng)認(rèn)證通過(guò)互聯(lián)網(wǎng)下載該系統(tǒng)審計(jì)過(guò)的程序源代碼���。另外��,該系統(tǒng)默認(rèn)管理員憑據(jù)是弱口令���,如未更改,極易被利用來(lái)直接登錄獲得該系統(tǒng)審計(jì)過(guò)的源代碼��。
請(qǐng)各單位全面排查��,自身以及項(xiàng)目承包商或軟件提供商是否采用SonarQube做軟件質(zhì)量管理��,是否因默認(rèn)配置而受漏洞影響����,并組織及時(shí)開(kāi)展漏洞修補(bǔ)、風(fēng)險(xiǎn)防范工作��,以免發(fā)生源代碼等項(xiàng)目重要資產(chǎn)失竊的安全事件����。
處置建議:
1.更改默認(rèn)設(shè)置����,包括更改默認(rèn)的管理員用戶(hù)名�、口令(避免弱口令)和端口��;
2.將SonarQube部署于內(nèi)網(wǎng)環(huán)境并通過(guò)防火墻等進(jìn)行訪問(wèn)控制�,禁止未經(jīng)驗(yàn)證的訪問(wèn)。
參考資料:
SonarQube存在弱口令漏洞https://www.cnvd.org.cn/flaw/show/CNVD-2021-24935
SonarSource SonarQube身份驗(yàn)證繞過(guò)漏洞https://www.cnvd.org.cn/flaw/show/CNVD-2020-64784
SonarSource SonarQube信息泄露漏洞(CNVD-2020-64787)https://www.cnvd.org.cn/flaw/show/CNVD-2020-64787
