據外媒報導，日前，FBI發出了一個安全警報，其警告威脅行為者正在濫用配置錯誤的SonarQube應用以訪問並竊取美國政府機構和私人企業的源代碼庫。該機構在上個月發出並於本週在其網站上公佈的一份警告中指出，這種類型的攻擊事件至少從2020年4月就已經開始了。

該警報特別警告SonarQube的所有者。SonarQube是一個基於web的應用，各家公司將其集成到自己的軟件構建鏈中以便在將代碼和應用推出到生產環境之前測試源代碼並發現安全缺陷。

SonarQube應用被安裝​​在web服務器上並連接到源代碼託管系統如BitBucket、GitHub、GitLab accounts或Azure DevOps systems。

但FBI表示，一些公司沒有保護這些系統，它們使用的是默認的管理憑證(admin/admin)並在默認配置（端口9000）上運行。

FBI官員稱，威脅者濫用這些錯誤配置來訪問SonarQube具體目標並將其轉移到連接的源代碼庫，然後訪問和竊取私有/敏感的應用。

FBI的警告觸及了一個軟件開發人員和安全研究人員很少知道的問題。

網絡安全行業經常就MongoDB或Elasticsearch數據庫在沒有密碼的情況下暴露在網上的危險發出警告，但SonarQube卻沒有受到影響。然而一些安全研究人員早在2018年5月就已經就讓SonarQube應用在網上暴露默認證書的危險發出過警告。

當時，數據洩露獵人Bob Diachenko警告稱，那個時候在線可用的約3000個SonarQube實例中有30%到40%沒有啟用密碼或身份驗證機制。

今年，瑞士安全研究員Till Kottmann也提出了SonarQube實例配置不當的同樣問題。據悉，Kottmann在一年的時間中通過一個公共門戶網站收集了

為了防止這樣的洩露，FBI的警告列出了公司可以採取的一系列保護措施，首先是改變應用的默認配置和憑證，然後使用防火牆來防止未經授權的用戶對應用進行未經授權的訪問。