ФБР говорит, что злоумышленники злоупотребляют неправильно настроенным приложением SonarQube. SonarQube - это приложение, которое объединяет в цепочки сборки ПО для тестирования исходного кода и обнаружения недостатков безопасности перед развертыванием кода в производственной среде. Оно устанавливается на веб-сервера и подключается к системам размещения исходного кода: таким, как учетные записи BitBucket, GitHub или GitLab.
Некоторые компании оставили эти системы незащищенными, запустив конфигурации по умолчанию с учетными данными админа по умолчанию(admin/admin)
Боб Дьяченко говорил, что около 40% всех 3000 экземпляров SonarQube, доступных в 2018 в сети, не имели паролей и механизмов аутентификации.
Советую изменить конфигурацию и учетные данные приложения, которые работают по умолчанию и использовать брандмауэры.
Некоторые компании оставили эти системы незащищенными, запустив конфигурации по умолчанию с учетными данными админа по умолчанию(admin/admin)
Боб Дьяченко говорил, что около 40% всех 3000 экземпляров SonarQube, доступных в 2018 в сети, не имели паролей и механизмов аутентификации.
Советую изменить конфигурацию и учетные данные приложения, которые работают по умолчанию и использовать брандмауэры.
