Sicherheitslücken, die XSS-, CSRF- und One-Click-Kontoübernahmen in Atlassian-Subdomains ermöglichen könnten, wurden gepatcht.
Check Point Research (CPR) gab am Donnerstag bekannt, dass die Fehler in den Online-Domains des Softwarelösungsanbieters gefunden wurden, die von Tausenden von Unternehmenskunden weltweit verwendet werden.
Der australische Anbieter ist Anbieter von Tools wie Jira, einem Projektmanagementsystem, und Confluence, einer Plattform für die Zusammenarbeit an Dokumenten für Remote-Teams.
Die fraglichen Sicherheitslücken wurden in einer Reihe von Atlassian-verwalteten Websites und nicht in lokalen oder Cloud-basierten Atlassian-Produkten gefunden.
Subdomains unter atlassian.com, darunter Partner, Entwickler, Support, Jira, Confluence und training.atlassian.com, waren anfällig für Kontoübernahmen.
CPR erklärte, dass Exploit-Code, der die Schwachstellen in den Subdomains ausnutzt, bereitgestellt werden könnte, indem ein Opfer auf einen bösartigen Link klickt. Eine Nutzlast würde dann im Namen des Opfers gesendet und eine Benutzersitzung würde gestohlen.
Zu den anfälligen Domänenproblemen gehörten eine schlecht konfigurierte Content Security Policy (CSP), Parameter, die für XSS, die Umgehung des SameSite- und HTTPOnly-Mechanismus anfällig sind, und eine Schwachstelle, die die Cookie-Fixierung ermöglichte – die Option für Angreifer, Benutzer zu zwingen, Sitzungscookies zu verwenden, die bekannt sind sie zu Authentifizierungszwecken.
Die Forscher sagen, dass es möglich war, Konten, auf die diese Subdomains zugreifen, durch Cross-Site-Scripting- (XSS) und Cross-Site-Request-Forgery- (CSRF) Angriffe zu übernehmen. Darüber hinaus ermöglichten die anfälligen Domänen auch Bedrohungsakteuren, Sitzungen zwischen dem Client und dem Webserver zu gefährden, sobald sich ein Benutzer bei seinem Konto anmeldete.
„Mit nur einem Klick hätte ein Angreifer die Fehler nutzen können, um Konten zu übernehmen und einige der Anwendungen von Atlassian, darunter Jira und Confluence, zu kontrollieren“, so die Forscher.
Zu den Auswirkungen dieser Angriffe gehörten Kontodiebstahl, Datendiebstahl, Aktionen im Namen eines Benutzers und der Zugriff auf Jira-Tickets.
Atlassian wurde am 8. Januar vor der Veröffentlichung über die Ergebnisse des Teams informiert. Am 18. Mai wurde ein Fix für die betroffenen Domains bereitgestellt.
Atlassian sagte gegenüber ZDNet:
„Basierend auf unserer Untersuchung wirken sich die beschriebenen Schwachstellen auf eine begrenzte Anzahl von Atlassian-eigenen Webanwendungen sowie auf eine Schulungsplattform von Drittanbietern aus. Atlassian hat Patches bereitgestellt, um diese Probleme zu beheben, und keine dieser Schwachstellen betraf die Atlassian Cloud (wie Jira oder Confluence .). Cloud) oder On-Premise-Produkte (wie Jira Server oder Confluence Server).”
Die Recherche zu Atlassian wurde von CPR aufgrund der anhaltenden Probleme im Zusammenhang mit Angriffen auf die Lieferkette durchgeführt, bei denen Bedrohungsakteure auf eine zentralisierte Ressource abzielen, die von anderen Unternehmen verwendet wird.
Wenn dieses Element kompromittiert werden kann – beispielsweise durch Manipulation von Update-Code, der im Fall von Codecov an Clients weitergegeben werden soll –, kann mit geringem Aufwand ein breiterer Pool potenzieller Opfer erreicht werden.
Auch SolarWinds ist ein Paradebeispiel dafür, wie verheerend ein Angriff auf die Lieferkette sein kann. Ungefähr 18.000 SolarWinds-Kunden haben ein bösartiges SolarWinds Orion-Softwareupdate erhalten, das eine Hintertür in ihre Systeme eingeschleust hat; Die Angreifer wählten jedoch eine Handvoll Opfer für eine weitere Kompromittierung aus, darunter Microsoft, FireEye und eine Reihe von Bundesbehörden.
Frühere und verwandte Berichte
Die durchschnittliche Zeit zum Beheben kritischer Cybersicherheitsschwachstellen beträgt 205 Tage: Bericht
Diese seltsame Speicherchip-Schwachstelle ist noch schlimmer, als wir dachten
Kritische Zoom-Schwachstelle löst Remote-Code aus Ausführung ohne Benutzereingaben
Haben Sie einen Tipp? Kontaktieren Sie uns sicher über WhatsApp | Signal unter +447713 025 499 oder drüben bei Keybase: charlie0
Verwandte Themen:
Sicherheit TV-Datenverwaltung CXO-Rechenzentren 