腾讯安全攻防团队A&D Team
腾讯安全 企业安全运营团队
SonarQube系统在默认配置下,会将通过审计的源代码上传至SonarQube平台。由于SonarQube缺少对API接口访问的鉴权控制。攻击者利用该漏洞,可在未授权的情况下通过访问上述API接口,获取SonarQube平台上的程序源代码,构成项目源代码数据泄露风险。腾讯安全专家建议受影响的用户将SonarQube升级到最新版本。
1
漏洞描述
SonarQube系统在默认配置下,会将通过审计的源代码上传至SonarQube平台。由于SonarQube缺少对API接口访问的鉴权控制。攻击者利用该漏洞,可在未授权的情况下通过访问上述API接口,获取SonarQube平台上的程序源代码,构成项目源代码数据泄露风险。
SonarQube 8.4.2.36762 允许远程攻击者通过 api/settings/values URI 发现明文 SMTP、SVN 和 GitLab 凭据。注意:据报道,供应商对 SMTP 和 SVN 的立场是“配置它是管理员的责任”。
该漏洞为2020年10月披露,近期发现较多境外媒体爆料多起源代码泄露事件,涉及我国多个机构和企业的SonarQube代码审计平台。
SonarQube是一个开源代码质量管理和分析审计平台,支持包括Java,C#,C/C++,PL/SQL,Cobol,JavaScript,Groovy等二十余种编程语言的代码质量管理,可以对项目中的重复代码、程序错误、编写规范、安全漏洞等问题进行检测,并将结果通过SonarQube Web界面进行呈现。
2
漏洞编号
CVE-2020-27986
3
漏洞等级
高危,CVSS评分7.5
漏洞状态:
|
漏洞细节 |
漏洞PoC |
漏洞EXP |
在野利用 |
|
已公开 |
已公开 |
已公开 |
已存在 |
4
受影响的版本
SonarQube < 8.6
5
安全版本
SonarQube >=8.6
6
漏洞修复建议
腾讯安全专家建议受影响的用户将SonarQube升级到最新版本。
7
腾讯安全解决方案
腾讯T-Sec漏洞扫描服务已支持检测全网资产是否存在SonarQube api未授权访问(CVE-2020-27986)漏洞;
腾讯T-Sec高级威胁检测系统(NTA,御界)规则库日期2021-11-15之后的版本,已支持检测利用SonarQube api 未授权访问(CVE-2020-27986)漏洞的攻击活动;
腾讯T-Sec云防火墙规则库已灰度上线,支持检测阻断利用SonarQube api未授权访问(CVE-2020-27986)漏洞的攻击。
参考链接:
https://nvd.nist.gov/vuln/detail/CVE-2020-27986
https://www.secrss.com/articles/35880
关于腾讯安全威胁情报中心
腾讯安全威胁情报中心是一个涵盖全球多维数据的情报分析、威胁预警分析平台。依托顶尖安全专家团队支撑,帮助安全分析人员、安全运维人员快速、准确地对可疑威胁事件进行预警、处置和溯源分析。
长按识别二维码获取第一手威胁情报
原文始发于微信公众号(腾讯安全威胁情报中心):SonarQube api 未授权访问(CVE-2020-27986)漏洞风险通告,腾讯安全支持检测拦截
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论