Genfer Sonarqube-Lösung ruft FBI auf den Plan
Die Sonarqube-Code-Überprüfungslösung der Genfer Firma Sonarsource legt den Quellcode von tausenden von Unternehmen offen und alarmiert das FBI. Die Ursache: kein Fehler im Tool, sondern von Benutzern falsch konfigurierte Instanzen.
Das FBI hat eine Warnung bezüglich der Sonarqube-Lösung des Genfer Unternehmens Sonarsource herausgegeben. Sonarqube ist eine Open-Source-Plattform für die automatisierte Codeüberprüfung und ermöglicht die Entdeckung von Fehlern und Schwachstellen in 27 Programmiersprachen. Nach Angaben des FBI werden falsch konfigurierte Sonarqube-Server seit April 2020 von Hackern ausgenutzt, um auf den Quellcode von US-Bundesbehörden und Unternehmen zuzugreifen.
Im vergangenen Juli wurden Risiken im Zusammenhang mit verschiedenen DevOps-Tools einschliesslich Sonarqube bereits von Schweizer Software-Entwickler Till Kottmann aufgedeckt. Betroffen sind laut der Fachseite "BleepingComputer" Microsoft, Adobe, Lenovo, AMD, Qualcomm, Motorola, Nintendo und Disney. Laut Till Kottmann ist der Code von Tausenden von Unternehmen wegen falsch konfigurierter Sonarqube-Server offengelegt.
Die Schwachstelle ist nicht in Sonarqube
Sonarsource reagierte schnell. In einem Blog-Beitrag wies das Unternehmen darauf hin, dass der Zugriff auf den Quellcode über das Tool nur mit schlecht konfigurierten Instanzen möglich sei. Das Problem entstand also nicht wegen einer Schwachstelle in Sonarqube. Der Herausgeber gab auch an, dass es sich bei den exponierten Instanzen um solche handelt, die nicht durch eine Firewall geschützt und über das Web zugänglich sind.
In seiner Warnung gibt das FBI Einzelheiten zur Vorgehensweise der Angreifer an. Zunächst durchsuchen sie das Internet mit Hilfe des Standardports (9000) und einer öffentlich zugänglichen IP-Adresse nach exponierten Sonarqube-Instanzen. Dann greifen sie mit den Standard-Anmeldeinformationen (Benutzername: admin, Passwort: admin) auf die Ziel-Quellcodes zu. Um Risiken vorzubeugen, rät die US-Bundesbehörde, den Standardport und die Identifikatoren zu ändern.
Die Sonarsource-Lösungen werden laut Herausgeber von mehr als 200'000 Unternehmen genutzt. Von der Redaktion kontaktiert, räumt CEO Olivier Gaudin ein, dass es nicht angenehm ist, das Werkzeug mit Cyberrisiken verbundene zu sehen. Er weist darauf hin, dass die nächste Version von Sonarqube verhindern wird, dass Benutzer anonymen Zugang zu den Quellcodes nutzen können.
G Data warnt vor existenzbedrohenden IT-Zombies. Mehr darüber und über weitere Cybersecurity-Themen erfahren Sie im Security-Blog.
Allgeier Schweiz verlagert People Sourcing in neue Firma
Wie die SCSD 2026 digitale Souveränität sichtbar, vergleichbar und erlebbar machen
Happy Valentine's Day
Unternehmensportrait und Statement
Das sind die beliebtesten IT-Arbeitgeber der Schweiz
Sichere Netzwerke – das Fundament für das KI-Zeitalter
ISE 2026: PPDS zeigt die volle Bandbreite seines Display-Angebots
US-Bundesstaaten planen Baustopp von KI-Rechenzentren
Apple schliesst bereits ausgenutzte Sicherheitslücke in Dynamic Link Editor
