Identifié en avril dernier et ayant affecté en août de nombreuses entreprises incluant Adobe, Disney ou encore Microsoft et en particulier Nintendo, le phénomène de hack de code source prend de l'ampleur. Ce dernier exploite un défaut de configuration des serveurs sur lesquels l'outil open source d'automatisation d'audit de lignes de codes et d'analyse de bugs et de vulnérabilités SonarQube est installé. Le FBI a ainsi émis en ce sens un bulletin d'alerte sur du vol de données d'agences gouvernementales et d'entreprises : « au cours la phase d'attaque initiale, les cybercriminels scannent Internet pour chercher des instances SonarQube exposées sur l'Internet ouvert utilisant le port par défaut (9000) et une adresse IP publiquement accessible », explique le FBI. « Les cyberattaquants utilisent les identifiants par défaut (nom d'utilisateur : admin et mot de passe : admin) pour tenter d'accéder aux instances SonarQube ».

Afin de circonscrire le risque au maximum, le FBI recommande bien entendu de changer les paramètres par défaut des instances SonarQube (nom d'utilisateur administrateur, mot de passe et port), mais pas seulement. « Placer les instances SonarQube derrière un écran de connexion et vérifier si des utilisateurs non autorisés y ont accès à distance, révoquer l'accès à n'importe quelle API ou autres identifiants qui ont été exposés dans une instance SonarQube si possible et configurer des instances installées derrière le pare-feu et autre périmètre de défense pour prévenir les accès non authentifiés », indique le bureau fédéral.

De son côté, SonarSource, éditeur de SonarQube, a apporté des précisions sur ce vecteur d'attaque dès la fin du mois de juillet 2020. « Bien qu'il ait été établi qu'il n'y ait pas de vulnérabilité dans le produit en lui-même, nous avons tout de même ajusté la configuration par défaut dans la nouvelle version de SonarQube. Dès SonarQube 8.6 , la configuration par défaut requiert une authentification pour accéder à l'interface, et le mot de passe par défaut doit également être modifié dès utilisation », nous a expliqué un porte-parole de SonarQube.