ATW组织高调攻击！由境外黑客组织攻击引发的开源软件安全思考( 二 ) _黑客组织

三、国内影响范围广泛，一线城市风险高通过对全网设备进行空间测绘（第三方平台），发现上述开源平台在国内使用广泛。对存在风险的资产项目进行进一步分析发现，其中包含涉及我国多家重要单位的系统源代码。如下是SonarQube、Gitblit、Gogs的各平台使用情况：

文章插图

国内SonarQube、Gitblit、Gogs平台的平台使用情况分布TOP省份如下：

文章插图

四、总结ATW数据泄露事件，一方面给我国在代码托管和供应链安全方面敲响警钟，从RaidForums论坛泄露的事件来看，本次事件中关基单位成为攻击者重点关注的对象，也再次验证了关基单位的网络产品供应链问题在当前日趋严峻的网络安全形势下日显突出，可以说供应链安全一旦出现问题会给关键信息基础设施带来严重危害。
另一方面，商业软件大多都在使用开源软件以节省开发时间、降低公司成本、避免重复造车轮，但使用软件公司对这些代码的品质、来源及应用部署却未必都给予了足够的关注和重视，这大大增加了企业单位的风险暴露面，容易被不法分子乘虚而入，导致严重后果。
在享受开源社区和软件带来便利的同时，也需要企业积极推动建设开源软件安全治理体系，积极开展开源软件源代码检测工程和提高使用开源软件的安全意识，形成开源软件安全治理的长效机制。

五、附录附录1：SonarQube、Gitblit、Gogs详细的未授权访问修复方案（1）SonarQube未授权访问的修复方案
1.升级SonarQube平台至最新版本。（SonarQube版本>8.6即可）
2.登录SonarQube系统，在Administation -> Security -> Force user authentication 设置开启。

文章插图

（2）Gitblit未授权访问的修复方案
1.修改Gitblit默认配置文件data/default.properties中web.authenticateViewPages的值修改为true ，禁止未授权用户访问仓库；以及将
git.defaultAccessRestriction的值修改为VIEW ，只允许授权用户进行view、clone、push操作。

文章插图

2.在创建仓库时，可通过修改访问策略，严格控制仓库的使用权限。默认仓库权限允许未授权用户查看/克隆项目。

文章插图

同时对关联用户和团队的权限进行控制

文章插图

4.修改默认用户名密码，可修改用户配置文件data/user.conf中的默认用户名密码，也可在web控制台修改，如图：

文章插图

（3）Gogs未授权访问的修复方案
1.修改Gogs默认配置文件custom/conf/App.ini中REQUIRE_SIGNIN_VIEW的值修改为true ，禁止未授权用户访问仓库。

文章插图

安全加固建议1.修改SonarQube、Gitblit、Gogs平台的默认配置，包括修改默认账号名、密码、端口号，并且禁止使用弱口令；
2.审计托管在SonarQube、Gitblit、Gogs的项目源码，若源码包含数据库配置信息、内部系统的账号密码、内部API接口等敏感信息，应及时通知相关人员进行更改；
3.禁止SonarQube、Gitblit、Gogs平台的外网访问权限，如若必须开放外网访问，将SonarQube、Gitblit、Gogs平台放置于防火墙等边界安全设备保护范围内，并且定期排查是否存在未授权访问的异常记录。