□ 개요
o 최근 개발 SW 검증에 사용되는 SonarQube(소나큐브) 서버에서 취약한 보안설정으로 인한 침해사고가 발생하고 있어 기관 및 기업 이용자들의 주의 당부
※ SonarQube : SW 개발시 소스코드의 개선 및 보안 취약점 제거를 위한 코드 분석 도구
2020/06/23 - [Security/SonarQube] - [SonarQube] SonarQube(소나큐브) 설치 하기
2020/06/23 - [Security/SonarQube] - [SonarQube] SonarQube(소나큐브) Admin 패스워드 변경 방법
2020/06/29 - [Security/SonarQube] - [SonarQube] SonarQube(소나큐브) 구동시 vm.max_map_count Error(에러)
□ 설명
o SonarQube 서버의 보안 설정 및 관리가 미흡한 경우 외부의 공격자가 기업, 기관 내부의 소스코드 저장소에 접근하여 소스코드 열람 및 민감 정보 탈취
□ 대응 방안
o 기본 설정 변경
- 관리자 계정명, 패스워드, 포트(9000) 변경
o 접근통제 강화
- 보안장비(방화벽 등)를 SonarQube 인스턴스의 앞단에 구성
- SonarQube 인스턴스에 접근할 수 있는 불필요한 자격증명(계정 등) 폐지
□ 기타 문의사항
o SonarSource 파트너
- (대표전화) 02-6245-5478
o 한국인터넷진흥원 사이버민원센터: 국번없이 118
[참고사이트]
[1] https://beta.documentcloud.org/documents/20399900-fbi_flash_sonarqube_access_bc
KISA 인터넷 보호나라&KrCERT
KISA 인터넷 보호나라&KrCERT
www.boho.or.kr
'+ Security > 보안 권고문(공지문)' 카테고리의 다른 글
| [보안공지] 어도비 아크로벳(Adobe Acrobat) 보안 업데이트 권고 (0) | 2020.11.07 |
|---|---|
| [보안공지] 마이크로소프트(MS) 윈도우 서버 Netlogon 취약점 보안 업데이트 권고 (0) | 2020.11.07 |
| [보안공지] 모질라(Mozilla) 제품 보안 업데이트 권고 (0) | 2020.10.25 |
| [보안공지] Adobe 제품군 보안 업데이트 권고 (2) | 2020.10.23 |
| [보안공지] 해킹 공격에 악용되는 취약점 업데이트 권고 (0) | 2020.10.22 |
댓글