Kwetsbaarheden die XSS-, CSRF- en one-click-accountovernames in Atlassian-subdomeinen mogelijk maakten, zijn gepatcht.
Donderdag zei Check Point Research (CPR) dat de bugs werden gevonden in de online domeinen van de leverancier van softwareoplossingen, die wereldwijd door duizenden zakelijke klanten worden gebruikt.
De Australische leverancier is de leverancier van tools, waaronder Jira, een projectbeheersysteem, en Confluence, een documentsamenwerkingsplatform voor teams op afstand.
De kwetsbaarheden in kwestie werden gevonden in een aantal door Atlassian onderhouden websites, in plaats van on-prem of cloudgebaseerde Atlassian-producten.
Subdomeinen onder atlassian.com, waaronder partners, ontwikkelaar, support, Jira, Confluence en training.atlassian.com waren kwetsbaar voor accountovername.
CPR legde uit dat exploitcode die gebruikmaakt van de kwetsbaarheden in de subdomeinen kan worden ingezet door een slachtoffer te klikken op een schadelijke link. Een payload zou dan namens het slachtoffer worden verzonden en een gebruikerssessie zou worden gestolen.
De kwetsbare domeinproblemen waren onder meer een slecht geconfigureerd Content Security Policy (CSP), parameters die kwetsbaar zijn voor XSS-, SameSite- en HTTPOnly-mechanismebypassing en een zwakke plek die cookiefixatie mogelijk maakte – de optie voor aanvallers om gebruikers te dwingen sessiecookies te gebruiken waarvan bekend is dat ze ze voor authenticatiedoeleinden.
De onderzoekers zeggen dat het mogelijk was om accounts over te nemen die toegankelijk zijn voor deze subdomeinen door middel van cross-site scripting (XSS) en cross-site request forgery (CSRF) aanvallen. Bovendien lieten de kwetsbare domeinen bedreigingsactoren ook toe om sessies tussen de client en de webserver te compromitteren zodra een gebruiker zich aanmeldde bij zijn account.
“Met slechts één klik had een aanvaller de fouten kunnen gebruiken om accounts over te nemen en enkele van Atlassian's applicaties te besturen, waaronder Jira en Confluence”, aldus de onderzoekers.
De gevolgen van deze aanvallen waren onder meer het kapen van accounts, gegevensdiefstal, acties die werden uitgevoerd namens een gebruiker en het verkrijgen van toegang tot Jira-tickets.
Atlassian werd op 8 januari, voorafgaand aan de openbaarmaking, op de hoogte gebracht van de bevindingen van het team. Een oplossing voor de getroffen domeinen werd op 18 mei geïmplementeerd.
Atlassian vertelde ZDNet:
“Op basis van ons onderzoek hebben de geschetste kwetsbaarheden gevolgen voor een beperkte set webapplicaties van Atlassian en een trainingsplatform van derden. Atlassian heeft patches geleverd om deze problemen aan te pakken en geen van deze kwetsbaarheden had invloed op Atlassian Cloud (zoals Jira of Confluence). Cloud) of producten op locatie (zoals Jira Server of Confluence Server).”
Het onderzoek naar Atlassian is uitgevoerd door CPR vanwege de aanhoudende problemen rond supply chain-aanvallen, waarbij bedreigingsactoren zich richten op een gecentraliseerde bron die door andere bedrijven wordt gebruikt.
Als dit element kan worden gecompromitteerd — zoals door te knoeien met de updatecode die in het geval van Codecov naar klanten wordt gepusht — kan met weinig moeite een grotere groep potentiële slachtoffers worden bereikt.
Ook SolarWinds is een goed voorbeeld van hoe verwoestend een supply chain-aanval kan zijn. Ongeveer 18.000 klanten van SolarWinds ontvingen een kwaadaardige software-update van SolarWinds Orion die een achterdeur in hun systemen plaatste; de aanvallers kozen echter een handvol slachtoffers uit voor verder compromis, waaronder Microsoft, FireEye en een aantal federale instanties.
Eerdere en gerelateerde berichtgeving
Gemiddelde tijd om kritieke kwetsbaarheden in cyberbeveiliging te verhelpen is 205 dagen: rapport
Deze vreemde kwetsbaarheid in de geheugenchip is nog erger dan we dachten
Kritieke Zoom-kwetsbaarheid activeert externe code uitvoering zonder gebruikersinvoer
Heeft u een tip? Neem veilig contact op via WhatsApp | Signaal op +447713 025 499, of via Keybase: charlie0
Verwante onderwerpen:
Beveiliging TV-gegevensbeheer CXO-datacenters 