黑客利用开源代码平台Gitblit漏洞泄露多家单位源码

一、事件概述

从2021年10月份开始,黑客组织AgainstTheWest便利用SonarQube漏洞陆续攻击我国多家企事业单位,攻击手段主要为利用未授权访问漏洞获取信息系统源代码,并在国外黑客论坛公开出售,绿盟科技CERT及国家有关部门已于2021年11月份针对该事件发布了预警通告。

详情链接:https://mp.weixin.qq.com/s/LDZQZF-nMCvPFZc6DqRuQw

绿盟科技CERT近期监测到,自2022年1月20日以来,该黑客组织再次利用Gitblit漏洞,对我国多家关键信息基础设施单位发起攻击,窃取重要信息系统源代码数据,并同样在上述黑客论坛进行非法售卖。

二、漏洞描述

Gitblit是一个纯Java编写的开源项目,是为希望托管集中式存储库的小型工作组设计的软件,主要用于管理、查看和服务Git仓库。

经绿盟科技CERT分析验证,Gitblit在部署时存在默认管理员口令,同时在创建仓库时,默认权限为允许匿名用户查看及克隆,直接导致暴露在互联网的相关源代码被攻击者窃取。

通过绿盟科技威胁情报系统对全网Gitblit资产进行网络空间测绘,发现绝大部分资产分布在我国,经统计分析,大部分平台均为第三方软件开发商部署在相关云主机上,其中源码涉及大量国家关键信息基础设施单位及相关政府机关单位。

三、防护建议

1、设置Gitblit平台默认访问权限

在数据目录下配置文件default.properties / gitblit.properties中,添加或修改web.authenticateViewPages及git.defaultAccessRestriction字段的默认值,将系统默认访问权限设置为仅对认证用户开放,完整操作可参考官方文档:http://gitblit.github.io/gitblit/setup_viewer.html

2、修改Gitblit管理员默认口令

排查用户及管理员账户是否存在弱口令,并通过web控制台进行修改。

也可通过数据目录下的用户配置文件user.conf进行修改。

3、设置仓库访问权限

在Gitblit创建仓库时,系统默认允许匿名用户进行查看及克隆,可通过访问策略,严格控制仓库的使用权限。

同时对关联用户和团队的权限进行控制。

四、入侵排查

若攻击者具有push权限,则可能通过git植入后门文件,相关用户可检查项目目录/.git/hooks下是否存在可疑脚本:

攻击者获取主机权限后,还可通过修改配置文件植入后门文件,用户可排查在数据目录/groovy下是否存在可疑脚本:

五、已知泄露情况

一、境外黑客论坛:

泄露对象:某银行、某银行分行

SCAI | XXX Banking XXX Systems | SRCs | ATW |

https://XXX.com/Thread-SCAI-XXX-SRCs-ATW

泄露对象:某工业集团、某工业局

State Administration for XXX | ATW |

https://XXX.com/Thread-SELLING-State-Administration-for-XXX-ATW

泄露对象:某医疗保健中心

XXX Health | SRCs | ATW |

https://XXX.com/Thread-XXX-Health-SRCs-ATW

泄露对象:某银行

开发商:某科技股份有限公司

Bank Of XXX | SRC | ATW |

https://XXX.com/Thread-Bank-Of-XXX-SRC-ATW

二、互联网:

泄露对象:某军工单位

泄露对象:某政府单位

泄露对象:某公安机关

泄露对象:某银行

泄露对象:某医院

泄露对象:某法院

泄露对象:某水务

版权声明

本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。

Spread the word. Share this post!

Meet The Author

Leave Comment