Sårbarheter som kan möjliggöra XSS-, CSRF- och ett-klick-kontoövertagningar i Atlassian-underdomäner har patchats.
På torsdag sa Check Point Research (CPR) att buggarna hittades i mjukvarulösningsleverantörens online-domäner, som används av tusentals företagskunder över hela världen.
Den australiska leverantören är leverantör av verktyg inklusive Jira, ett projektledningssystem och Confluence, en dokumentsamarbetsplattform för fjärrteam.
De aktuella sårbarheterna hittades på ett antal Atlassian-underhållna webbplatser snarare än lokala eller molnbaserade Atlassian-produkter.
Underdomäner under atlassian.com, inklusive partners, utvecklare, support, Jira, Confluence och training.atlassian.com var sårbara för kontoövertagande.
HLR förklarade att utnyttjandekod som använder sårbarheterna i underdomänerna kan distribueras genom att ett offer klickar på en skadlig länk. En nyttolast skickades sedan på offrets vägnar och en användarsession skulle stulas.
De sårbara domänproblemen inkluderade en dåligt konfigurerad innehållssäkerhetspolicy (CSP), parametrar som är sårbara för XSS, SameSite och HTTPOnly-mekanism förbikoppling och en svag punkt som möjliggjorde fixering av kakor – alternativet för angripare att tvinga användare att använda sessionskakor som är kända för dem för autentiseringsändamål.
Forskarna säger att det var möjligt att ta över konton som var tillgängliga för dessa underdomäner genom cross-site scripting (XSS) och cross-site request forgery (CSRF) attacker. Dessutom tillät de sårbara domänerna också hotaktörer att kompromissa med sessioner mellan klienten och webbservern när en användare loggat in på sitt konto.
“Med bara ett klick kunde en angripare ha använt bristerna för att ta över konton och kontrollera några av Atlassians applikationer, inklusive Jira och Confluence”, säger forskarna.
Förgreningarna av dessa attacker innefattade kontokapning, datastöld, åtgärder som utförs på uppdrag av en användare och att få tillgång till Jira-biljetter.
Atlassian informerades om gruppens resultat den 8 januari före offentliggörandet. En fix för de påverkade domänerna distribuerades den 18 maj.
Atlassian berättade för ZDNet:
“Baserat på vår utredning påverkar de beskrivna sårbarheterna en begränsad uppsättning Atlassian-ägda webbapplikationer samt en utbildningsplattform från tredje part. Atlassian har skickat korrigeringar för att lösa dessa problem och ingen av dessa sårbarheter påverkade Atlassian Cloud (som Jira eller Confluence) Cloud) eller lokala produkter (som Jira Server eller Confluence Server). “
Forskningen om Atlassian utfördes av HLR på grund av de pågående frågorna kring attacker i försörjningskedjan, där hotaktörer kommer att rikta sig mot en central resurs som används av andra företag.
Om detta element kan äventyras – till exempel genom att manipulera med uppdateringskoden på grund av att det skjuts ut till klienter i fallet med Codecov – kan en bredare pool av potentiella offer nås med liten ansträngning.
SolarWinds är också ett utmärkt exempel på hur förödande en leveranskedjeattack kan vara. Cirka 18 000 SolarWinds-klienter fick en skadlig SolarWinds Orion-programuppdatering som planterade en bakdörr i deras system; dock attackerar angriparna en handfull offer för ytterligare kompromisser, inklusive Microsoft, FireEye och ett antal federala byråer.
Tidigare och relaterad täckning
Genomsnittlig tid för att åtgärda kritiska cybersäkerhetssårbarheter är 205 dagar: rapport
Den här konstiga minneschipssårbarheten är ännu värre än vi insåg. Kritisk zoom-sårbarhet utlöser fjärrkod körning utan användarinmatning
Har du ett tips? Kontakta säkert via WhatsApp | Signal vid +447713 025 499, eller över på Keybase: charlie0
Relaterade ämnen:
Säkerhet TV Data Management CXO Data Centers 