Máquinas identificadas como sendo do STF, o Supremo Tribunal Federal, estiveram expostas na internet utilizando uma instalação mal configurada da plataforma SonarQube. O problema foi informado ao CISO Advisor pelo pesquisador brasileiro que localizou as máquinas num buscador de internet das coisas, depois de tomar conhecimento desse alerta. O pesquisador informa que já alertou o SFT. Por meio da vulnerabilidade no SonarQube, um hacker pode ter acesso a código fonte desenvolvido para o Tribunal.
Os problemas com essa plataforma foram apontados inicialmente num alerta do FBI publicado na terça-feira da semana passada, dia 3 de novembro, mas que já havia sido sigilosamente enviado aos órgãos do governo americano dia 14 de outubro – 20 dias antes. O sigilo foi adotado porque a vulnerabilidade da plataforma foi utilizada na exfiltração de código fonte de propriedade do governo americano e também de empresas dos EUA.
Veja isso
Mercado de DevSecOps cresce 30,2% e atingirá US$ 15,9 bi em 2027
Vulnerabilidades na nuvem devem crescer em ‘velocidade e escala’
As invasões acontecem pelo menos desde abril de 2020, segundo informou o FBI no alerta. O SonarQube é uma plataforma de verificação de segurança no desenvolvimento de código e instalada em servidores que se conectam a sistemas de hospedagem de código-fonte, tais como o GitHub. Com a vulnerabilidade das instalações do SonarQube, os hackers podem ter acesso ao material armazenado confidencialmente nesses repositórios.
Desde maio de 2018 pesquisadores têm alertado sobre os perigos de deixar plataformas SonarQube expostas com credenciais padrão. Um deles, Bob Diachenko, afirmou que de 30% a 40% de todas as 3.000 instâncias de SonarQube disponíveis online nessa época não tinham senha ou mecanismo de autenticação. O alerta do FBI afirma que algumas empresas deixaram esses sistemas desprotegidos, rodando a configuração padrão na porta 9000, e usando as credenciais padrão admin / admin.
Com agências internacionais
.
