前言
開(kāi)源軟件在助力企業(yè)數(shù)字化轉(zhuǎn)型的過(guò)程中起到了至關(guān)重要的作用,然而開(kāi)源軟件的廣泛應(yīng)用卻由于安全意識(shí)的不足和缺失大大增加了風(fēng)險(xiǎn)暴露面,使用默認(rèn)配置、允許未授權(quán)訪問(wèn)、權(quán)限管理疏忽等缺乏安全意識(shí)的表現(xiàn)導(dǎo)致黑客可以以極低的門(mén)檻和成本造成大范圍且嚴(yán)重的危害。
在過(guò)去的半年中,就有境外黑客組織利用上述弱點(diǎn)對(duì)我國(guó)境內(nèi)發(fā)起攻擊,導(dǎo)致多家重要單位數(shù)據(jù)泄露。這提醒我們?cè)谙硎荛_(kāi)源社區(qū)和軟件帶來(lái)便利的同時(shí),提高使用開(kāi)源軟件的安全意識(shí)刻不容緩。
在本篇文章中,我們將簡(jiǎn)要介紹AgainstTheWest(ATW)的攻擊活動(dòng),并研究他們的入侵攻擊鏈和動(dòng)機(jī)。
一、境外反中黑客“引戰(zhàn)”,高調(diào)攻擊我國(guó)網(wǎng)絡(luò)
自2021年10月以來(lái),一個(gè)名為“AgainstTheWest”(ATW)的黑客組織在地下論壇 RaidForums上發(fā)布了大量的關(guān)于我國(guó)多家企事業(yè)單位的源代碼數(shù)據(jù),以及相關(guān)網(wǎng)站被破壞的證據(jù)。該黑客組織針對(duì)中國(guó)企事業(yè)單位發(fā)起了為期數(shù)月的名為“Operation Renminbi”的網(wǎng)絡(luò)戰(zhàn),即使在RaidForums論壇被封禁后,仍然在利用Twitter和Telegram Messenger等社交媒體頻繁發(fā)布泄露信息。
如下是ATW于3月2日使用Twitter發(fā)布的泄露信息:
2021年10月12日,AgainstTheWest(ATW)組織首次出現(xiàn)在 RaidForums泄密市場(chǎng)的帖子中(有些人會(huì)認(rèn)為ATW首次泄露時(shí)間是10月14日,實(shí)際上是10月12日發(fā)布第一貼,在10月14日對(duì)貼子進(jìn)行了修改,所以帖子上會(huì)顯示10月14日),他們聲稱(chēng)正在出售從中國(guó)某銀行竊取的源代碼信息。“我們已經(jīng)為這項(xiàng)行動(dòng)工作了至少兩個(gè)月,它使我們能夠接觸到其內(nèi)部資產(chǎn)”,ATW在帖子中表示,并公布了內(nèi)部截圖。隨后該黑客組織又持續(xù)發(fā)布多家重要單位的系統(tǒng)源代碼,并宣稱(chēng)泄露事件將持續(xù)進(jìn)行。
從ATW的論壇活動(dòng)來(lái)看,他們從一開(kāi)始就知道如何使用論壇,知道數(shù)據(jù)銷(xiāo)售是如何運(yùn)作的,甚至在交流中偶爾透露一些關(guān)于論壇歷史的知識(shí)。10月12日的賬戶創(chuàng)建日期不太可能是ATW第一次訪問(wèn)該網(wǎng)站,更像是蓄謀已久的活動(dòng)。ATW展示出來(lái)的標(biāo)簽印象包括作為地下論壇的活躍用戶、擁有一定的黑客技能、意識(shí)形態(tài)反對(duì)中國(guó)等。
二、攻擊鏈“簡(jiǎn)簡(jiǎn)單單”,重要單位“連連失守”
研究ATW的入侵手法可以發(fā)現(xiàn)其攻擊鏈并不復(fù)雜,2021年末對(duì)SonarQube代碼質(zhì)量管理平臺(tái)進(jìn)行了攻擊,在2022年初又陸續(xù)攻擊了Gitblit、Gogs等代碼托管平臺(tái)。這些攻擊及造成的數(shù)據(jù)泄露具有明顯的相似性,主要通過(guò)利用代碼質(zhì)量管理或代碼托管平臺(tái)的未授權(quán)訪問(wèn)漏洞來(lái)進(jìn)行入侵。這些開(kāi)源平臺(tái)在默認(rèn)配置下,都允許未授權(quán)用戶直接或間接地訪問(wèn)代碼倉(cāng)庫(kù)中的源代碼,一旦這些服務(wù)暴露在外網(wǎng),不法分子便能輕松竊取其中的源代碼,從而構(gòu)成項(xiàng)目源代碼數(shù)據(jù)的泄露。
通過(guò)模擬ATW的攻擊入侵手段,以及能獲取到的源代碼來(lái)看,ATW的入侵方式非常成功,他們能輕松進(jìn)入上萬(wàn)臺(tái)缺乏權(quán)限管控的資產(chǎn)內(nèi)部,其中不乏有重要基礎(chǔ)設(shè)施單位的源代碼信息。
盡管ATW在活動(dòng)中不斷聲稱(chēng)自己“黑客主義”使命,但與其他黑客主義的團(tuán)體不同的是,ATW會(huì)出售一些目標(biāo)單位的源代碼或數(shù)據(jù)。他們接受比特幣和以太坊等作為交易貨幣,盡管有一些帖子是免費(fèi)公開(kāi)的,但不排除販賣(mài)數(shù)據(jù)給其帶來(lái)了一定的收益。該組織不僅泄漏企事業(yè)單位相關(guān)系統(tǒng)源代碼,還不斷對(duì)政府和重要的基礎(chǔ)設(shè)施發(fā)起攻擊。
意識(shí)形態(tài)上,該黑客組織稱(chēng)國(guó)際政治立場(chǎng)不同,攻擊目標(biāo)主要針對(duì)中國(guó)、俄羅斯、朝鮮等國(guó)家,這恰恰與其名“反對(duì)西方”相悖。過(guò)去一些關(guān)于黑客行動(dòng)主義團(tuán)體的攻擊案例最終演變成民族國(guó)家執(zhí)行信息操作的掩護(hù),但是從ATW目前的活動(dòng)中暫未體現(xiàn)到這一點(diǎn)。
三、國(guó)內(nèi)影響范圍廣泛,一線城市風(fēng)險(xiǎn)高
通過(guò)對(duì)全網(wǎng)設(shè)備進(jìn)行空間測(cè)繪(第三方平臺(tái)),發(fā)現(xiàn)上述開(kāi)源平臺(tái)在國(guó)內(nèi)使用廣泛。對(duì)存在風(fēng)險(xiǎn)的資產(chǎn)項(xiàng)目進(jìn)行進(jìn)一步分析發(fā)現(xiàn),其中包含涉及我國(guó)多家重要單位的系統(tǒng)源代碼。如下是SonarQube、Gitblit、Gogs的各平臺(tái)使用情況:
國(guó)內(nèi)SonarQube、Gitblit、Gogs平臺(tái)的平臺(tái)使用情況分布TOP省份如下:
四、總結(jié)
ATW數(shù)據(jù)泄露事件,一方面給我國(guó)在代碼托管和供應(yīng)鏈安全方面敲響警鐘,從RaidForums論壇泄露的事件來(lái)看,本次事件中關(guān)基單位成為攻擊者重點(diǎn)關(guān)注的對(duì)象,也再次驗(yàn)證了關(guān)基單位的網(wǎng)絡(luò)產(chǎn)品供應(yīng)鏈問(wèn)題在當(dāng)前日趨嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)下日顯突出,可以說(shuō)供應(yīng)鏈安全一旦出現(xiàn)問(wèn)題會(huì)給關(guān)鍵信息基礎(chǔ)設(shè)施帶來(lái)嚴(yán)重危害。
另一方面,商業(yè)軟件大多都在使用開(kāi)源軟件以節(jié)省開(kāi)發(fā)時(shí)間、降低公司成本、避免重復(fù)造車(chē)輪,但使用軟件公司對(duì)這些代碼的品質(zhì)、來(lái)源及應(yīng)用部署卻未必都給予了足夠的關(guān)注和重視,這大大增加了企業(yè)單位的風(fēng)險(xiǎn)暴露面,容易被不法分子乘虛而入,導(dǎo)致嚴(yán)重后果。
在享受開(kāi)源社區(qū)和軟件帶來(lái)便利的同時(shí),也需要企業(yè)積極推動(dòng)建設(shè)開(kāi)源軟件安全治理體系,積極開(kāi)展開(kāi)源軟件源代碼檢測(cè)工程和提高使用開(kāi)源軟件的安全意識(shí),形成開(kāi)源軟件安全治理的長(zhǎng)效機(jī)制。
五、附錄
附錄1:SonarQube、Gitblit、Gogs詳細(xì)的未授權(quán)訪問(wèn)修復(fù)方案
(1)SonarQube未授權(quán)訪問(wèn)的修復(fù)方案
1.升級(jí)SonarQube平臺(tái)至最新版本。(SonarQube版本>8.6即可)
2.登錄SonarQube系統(tǒng),在Administation -> Security -> Force user authentication 設(shè)置開(kāi)啟。
(2)Gitblit未授權(quán)訪問(wèn)的修復(fù)方案
1.修改Gitblit默認(rèn)配置文件data/default.properties中web.authenticateViewPages的值修改為true,禁止未授權(quán)用戶訪問(wèn)倉(cāng)庫(kù);以及將
git.defaultAccessRestriction的值修改為VIEW,只允許授權(quán)用戶進(jìn)行view、clone、push操作。
2.在創(chuàng)建倉(cāng)庫(kù)時(shí),可通過(guò)修改訪問(wèn)策略,嚴(yán)格控制倉(cāng)庫(kù)的使用權(quán)限。默認(rèn)倉(cāng)庫(kù)權(quán)限允許未授權(quán)用戶查看/克隆項(xiàng)目。
同時(shí)對(duì)關(guān)聯(lián)用戶和團(tuán)隊(duì)的權(quán)限進(jìn)行控制
4.修改默認(rèn)用戶名密碼,可修改用戶配置文件data/user.conf中的默認(rèn)用戶名密碼,也可在web控制臺(tái)修改,如圖:
(3)Gogs未授權(quán)訪問(wèn)的修復(fù)方案
1.修改Gogs默認(rèn)配置文件custom/conf/App.ini中REQUIRE_SIGNIN_VIEW的值修改為true,禁止未授權(quán)用戶訪問(wèn)倉(cāng)庫(kù)。
安全加固建議
1.修改SonarQube、Gitblit、Gogs平臺(tái)的默認(rèn)配置,包括修改默認(rèn)賬號(hào)名、密碼、端口號(hào),并且禁止使用弱口令;
2.審計(jì)托管在SonarQube、Gitblit、Gogs的項(xiàng)目源碼,若源碼包含數(shù)據(jù)庫(kù)配置信息、內(nèi)部系統(tǒng)的賬號(hào)密碼、內(nèi)部API接口等敏感信息,應(yīng)及時(shí)通知相關(guān)人員進(jìn)行更改;
3.禁止SonarQube、Gitblit、Gogs平臺(tái)的外網(wǎng)訪問(wèn)權(quán)限,如若必須開(kāi)放外網(wǎng)訪問(wèn),將SonarQube、Gitblit、Gogs平臺(tái)放置于防火墻等邊界安全設(shè)備保護(hù)范圍內(nèi),并且定期排查是否存在未授權(quán)訪問(wèn)的異常記錄。
