FBI: Hacker Curi Kode Sumber Lembaga Pemerintah AS, Manfaatkan Celah Aplikasi SonarQube

Cyberthreat.id – Biro Investigasi Federal (FBI) Amerika Serikat mengeluarkan peringatan terkait penjahat siber yang menyalahgunakan aplikasi SonarQube untuk mengakses dan mencuri repositori kode sumber dari lembaga pemerintah AS dan swasta.

“Gangguan terjadi setidaknya sejak April 2020,” tulis FBI dalam peringatan yang dipublikasikan pekan ini di situs webnya, seperti dikutip oleh ZDNet, portal berita cybersecurity, Sabtu (7 November 2020)

SonarQube adalah aplikasi berbasis web yang diintegrasikan oleh sebuah organisasi (baik pemerintah maupun swasta) ke dalam rantai pembuatan perangkat lunak mereka.

Tujuan dari aplikasi tersebut untuk menguji kode sumber dan menemukan celah kelemahan keamanan sebelum kode dan aplikasi itu dirilis.

Aplikasi SonarQube diinstal di web server dan terhubung ke sistem hosting kode sumber, seperti akun BitBucket, GitHub, atau GitLab, atau sistem Azure DevOps.

FBI mengatakan beberapa perusahaan membiarkan sistem ini tidak terlindungi dan berjalan pada konfigurasi default (pada port 9000) dengan kredensial admin default (admin/admin).

Penjaht siber, menurut FBI, menyalahgunakan kesalahan konfigurasi ini untuk mengakses instans SonarQube, beralih ke repositori kode sumber yang terhubung, dan kemudian mengakses dan mencuri aplikasi berpemilik atau pribadi/sensitif.

FBI memberikan dua contoh insiden sebelumnya.

"Pada Agustus 2020, pelaku ancaman yang tidak dikenal membocorkan data internal dari dua organisasi melalui lifecycle repository tool. Data yang dicuri bersumber dari SonarQube yang menggunakan setelan port default dan kredensial admin yang berjalan di jaringan organisasi yang terpengaruh,” tulis FBI.

"Aktivitas ini mirip dengan kebocoran data sebelumnya pada Juli 2020, di mana seorang aktor siber yang teridentifikasi mengeksfiltrasi kode sumber kepemilikan dari perusahaan melalui SonarQube yang tak dilindungi dan mereka menerbitkan kode sumber yang telah di-eksfiltrasi pada repositori publik yang di-hosting sendiri."

Peringatan FBI tersebut ialah masalah yang kurang begitu diketahui di antara pengembang perangkat lunak dan peneliti keamanan.

Sementara industri keamanan dunia maya sering memperingatkan tentang bahaya meninggalkan aplikasi basis data MongoDB atau Elasticsearch terbuka secara online tanpa kata sandi, sedangkan SonarQube kurang diperhatikan.

Namun, beberapa peneliti keamanan telah memperingatkan tentang bahaya membiarkan aplikasi SonarQube diekspose secara online dengan kredensial default sejak Mei 2018.

Pada saat itu, peneliti keamanan siber independen, Bob Diachenko, memperingatkan bahwa sekitar 30-40 persen dari kurang lebih 3.000 SonarQube yang tersedia online pada saat itu tidak memiliki sandi atau mekanisme otentikasi yang diaktifkan.

Tahun ini, seorang peneliti keamanan Swiss bernama Till Kottmann juga mengangkat masalah yang sama tentang SonarQube yang salah dikonfigurasi. Sepanjang tahun, Kottmann telah mengumpulkan kode sumber dari puluhan perusahaan teknologi di portal publik, dan banyak di antaranya berasal dari aplikasi SonarQube.

"Kebanyakan orang tampaknya sama sekali tidak mengubah pengaturan, yang sebenarnya dijelaskan dengan benar dalam panduan pengaturan dari SonarQube," kata Kottmann.

"Saya tidak tahu jumlah SonarQube yang terekspose saat ini, tapi saya ragu itu banyak berubah. Saya kira masih jauh lebih dari 1.000 server (yang diindeks oleh Shodan) yang 'rentan' dengan tidak memerlukan autentikasi atau membiarkan default kredibilitas, "katanya.

Untuk mencegah kebocoran seperti itu, FBI mencantumkan serangkaian langkah yang dapat diambil perusahaan untuk melindungi server SonarQube, dimulai dengan mengubah konfigurasi default dan kredensial aplikasi dan kemudian menggunakan firewall untuk mencegah akses tidak sah ke aplikasi dari pengguna yang tidak sah.[]