Quellcode-Piraterie

Genfer Sonarqube-Lösung ruft FBI auf den Plan

Uhr
von Yannick Chavanne und Übersetzung: Milena Kälin

Die Sonarqube-Code-Überprüfungslösung der Genfer Firma Sonarsource legt den Quellcode von tausenden von Unternehmen offen und alarmiert das FBI. Die Ursache: kein Fehler im Tool, sondern von Benutzern falsch konfigurierte Instanzen.

(Source: REDPIXEL.PL / Shutterstock.com)
(Source: REDPIXEL.PL / Shutterstock.com)

Das FBI hat eine Warnung bezüglich der Sonarqube-Lösung des Genfer Unternehmens Sonarsource herausgegeben. Sonarqube ist eine Open-Source-Plattform für die automatisierte Codeüberprüfung und ermöglicht die Entdeckung von Fehlern und Schwachstellen in 27 Programmiersprachen. Nach Angaben des FBI werden falsch konfigurierte Sonarqube-Server seit April 2020 von Hackern ausgenutzt, um auf den Quellcode von US-Bundesbehörden und Unternehmen zuzugreifen.

Im vergangenen Juli wurden Risiken im Zusammenhang mit verschiedenen DevOps-Tools einschliesslich Sonarqube bereits von Schweizer Software-Entwickler Till Kottmann aufgedeckt. Betroffen sind laut der Fachseite "BleepingComputer" Microsoft, Adobe, Lenovo, AMD, Qualcomm, Motorola, Nintendo und Disney. Laut Till Kottmann ist der Code von Tausenden von Unternehmen wegen falsch konfigurierter Sonarqube-Server offengelegt.

Die Schwachstelle ist nicht in Sonarqube

Sonarsource reagierte schnell. In einem Blog-Beitrag wies das Unternehmen darauf hin, dass der Zugriff auf den Quellcode über das Tool nur mit schlecht konfigurierten Instanzen möglich sei. Das Problem entstand also nicht wegen einer Schwachstelle in Sonarqube. Der Herausgeber gab auch an, dass es sich bei den exponierten Instanzen um solche handelt, die nicht durch eine Firewall geschützt und über das Web zugänglich sind.

In seiner Warnung gibt das FBI Einzelheiten zur Vorgehensweise der Angreifer an. Zunächst durchsuchen sie das Internet mit Hilfe des Standardports (9000) und einer öffentlich zugänglichen IP-Adresse nach exponierten Sonarqube-Instanzen. Dann greifen sie mit den Standard-Anmeldeinformationen (Benutzername: admin, Passwort: admin) auf die Ziel-Quellcodes zu. Um Risiken vorzubeugen, rät die US-Bundesbehörde, den Standardport und die Identifikatoren zu ändern.

Die Sonarsource-Lösungen werden laut Herausgeber von mehr als 200'000 Unternehmen genutzt. Von der Redaktion kontaktiert, räumt CEO Olivier Gaudin ein, dass es nicht angenehm ist, das Werkzeug mit Cyberrisiken verbundene zu sehen. Er weist darauf hin, dass die nächste Version von Sonarqube verhindern wird, dass Benutzer anonymen Zugang zu den Quellcodes nutzen können.

G Data warnt vor existenzbedrohenden IT-Zombies. Mehr darüber und über weitere Cybersecurity-Themen erfahren Sie im Security-Blog.

Webcode
DPF8_196703