📄 الوصف (الإنجليزية)
SonarQube 8.3.1 contains an unquoted service path vulnerability that allows local attackers to gain SYSTEM privileges by exploiting the service executable path. Attackers can replace the wrapper.exe in the service path with a malicious executable to execute code with highest system privileges during service restart.
🤖 ملخص AI
SonarQube 8.3.1 contains a critical privilege escalation vulnerability through unquoted service paths, allowing local attackers to achieve SYSTEM-level code execution by replacing wrapper.exe with malicious executables. This vulnerability affects organizations using SonarQube for code quality management and requires immediate patching. The attack requires local access but results in complete system compromise with the highest privilege level.
📄 الوصف (العربية)
🤖 التحليل الذكي آخر تحليل: Apr 27, 2026 12:52
🇸🇦 التأثير على المملكة العربية السعودية
This vulnerability primarily impacts Saudi government agencies, financial institutions, and large enterprises using SonarQube for DevOps and code quality management. High-risk sectors include: SAMA-regulated banks and financial institutions using SonarQube in development environments, Saudi government IT departments (NCA, NCSC oversight), telecommunications companies (STC, Mobily) with development infrastructure, and energy sector organizations (ARAMCO subsidiaries) managing critical infrastructure code. The vulnerability is particularly dangerous in shared development environments where multiple developers have local system access.
🏢 القطاعات السعودية المتأثرة
Banking and Financial Services
Government and Public Administration
Telecommunications
Energy and Utilities
Healthcare
Large Enterprises with DevOps Infrastructure
🎯 تقنيات MITRE ATT&CK
T1547.001 - Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder
T1547.014 - Boot or Logon Autostart Execution: Active Setup
T1134.003 - Access Token Manipulation: Make and Impersonate Token
T1548.004 - Abuse Elevation Control Mechanism: Elevated Execution with Prompt
T1574.008 - Hijack Execution Flow: DLL Search Order Hijacking
T1036.005 - Masquerading: Match Legitimate Name or Location
T1053.005 - Scheduled Task/Job: Scheduled Task
⚖️ درجة المخاطر السعودية (AI)
7.8
/ 10.0
🔧 Remediation Steps (English)
1. IMMEDIATE ACTIONS:
- Identify all SonarQube 8.3.1 installations across your infrastructure
- Restrict local access to SonarQube service directories to authorized personnel only
- Review service account permissions and apply principle of least privilege
- Monitor for suspicious wrapper.exe modifications or replacements
2. PATCHING GUIDANCE:
- Upgrade SonarQube to version 8.4.0 or later immediately
- Apply patches in non-production environments first
- Restart SonarQube services after patching to ensure new service path is properly registered
3. COMPENSATING CONTROLS (if immediate patching not possible):
- Implement file integrity monitoring (FIM) on SonarQube installation directories
- Use Windows AppLocker or equivalent to restrict executable execution in service paths
- Apply NTFS permissions to make wrapper.exe read-only for service account
- Disable local administrator access for non-essential users
4. DETECTION RULES:
- Monitor Windows Event Logs for service path modifications (Event ID 7045)
- Alert on wrapper.exe file modifications or replacements
- Track failed service start attempts with privilege escalation indicators
- Monitor process creation from SonarQube service directories
🔧 خطوات المعالجة (العربية)
1. الإجراءات الفورية:
- تحديد جميع تثبيتات SonarQube 8.3.1 عبر البنية التحتية الخاصة بك
- تقييد الوصول المحلي إلى مجلدات خدمة SonarQube للموظفين المصرح لهم فقط
- مراجعة أذونات حساب الخدمة وتطبيق مبدأ أقل امتياز
- مراقبة التعديلات أو الاستبدالات المريبة لـ wrapper.exe
2. إرشادات التصحيح:
- ترقية SonarQube إلى الإصدار 8.4.0 أو أحدث فوراً
- تطبيق التصحيحات في بيئات غير الإنتاج أولاً
- إعادة تشغيل خدمات SonarQube بعد التصحيح لضمان تسجيل مسار الخدمة الجديد بشكل صحيح
3. الضوابط البديلة (إذا لم يكن التصحيح الفوري ممكناً):
- تنفيذ مراقبة سلامة الملفات (FIM) على مجلدات تثبيت SonarQube
- استخدام Windows AppLocker أو ما يعادله لتقييد تنفيذ الملفات التنفيذية في مسارات الخدمة
- تطبيق أذونات NTFS لجعل wrapper.exe للقراءة فقط لحساب الخدمة
- تعطيل وصول المسؤول المحلي للمستخدمين غير الأساسيين
4. قواعد الكشف:
- مراقبة سجلات أحداث Windows لتعديلات مسار الخدمة (معرف الحدث 7045)
- التنبيه على تعديلات أو استبدالات ملف wrapper.exe
- تتبع محاولات بدء الخدمة الفاشلة مع مؤشرات تصعيد الامتيازات
- مراقبة إنشاء العمليات من مجلدات خدمة SonarQube
📋 خريطة الامتثال التنظيمي
🟢 NCA ECC 2024
ECC 2024 A.5.1.1 - Access Control Policies
ECC 2024 A.5.2.1 - User Registration and De-registration
ECC 2024 A.5.3.1 - Access Rights Review
ECC 2024 A.6.1.2 - Segregation of Duties
ECC 2024 A.12.2.1 - Change Management
🔵 SAMA CSF
SAMA CSF ID.AM-2 - Software Inventory
SAMA CSF PR.AC-1 - Access Control Policy
SAMA CSF PR.AC-4 - Access Rights Management
SAMA CSF DE.CM-3 - Monitoring Activities
SAMA CSF RS.MI-2 - Incident Response Procedures
🟡 ISO 27001:2022
ISO 27001:2022 A.5.3 - Segregation of Duties
ISO 27001:2022 A.6.2 - User Access Management
ISO 27001:2022 A.8.1 - User Endpoint Devices
ISO 27001:2022 A.12.2 - Change Management
ISO 27001:2022 A.12.4 - Logging
🟣 PCI DSS v4.0.1
PCI DSS 2.2.4 - Configure System Security Parameters
PCI DSS 6.2 - Ensure Security Patches Installed
PCI DSS 7.1 - Limit Access to System Components
PCI DSS 10.2 - Implement Automated Audit Trails