Af Charlie Osborne til Zero Day | 24. juni 2021 – 10:00 GMT (11:00 BST) | Emne: Sikkerhed
Sårbarheder, der kan tillade overtagelse af XSS-, CSRF- og et-klik-kontoovertagelser i Atlassian-underdomæner, er blevet patched.
På torsdag sagde Check Point Research (CPR), at fejlene blev fundet i softwareløsningsudbyderens online-domæner, der blev brugt af tusindvis af virksomhedskunder over hele verden.
Den australske leverandør er leverandør af værktøjer, herunder Jira, et projektstyringssystem og Confluence, en dokumentsamarbejdsplatform til fjernteam.
De pågældende sårbarheder blev fundet på et antal Atlassian-vedligeholdte websteder snarere end on-prem eller skybaserede Atlassian-produkter.
Underdomæner under atlassian.com, inklusive partnere, udvikler, support, Jira, Confluence og training.atlassian.com var sårbare over for kontoovertagelse.
CPR forklarede, at udnyttelseskode, der udnytter sårbarhederne i underdomænerne, kunne distribueres gennem et offer, der klikker på et ondsindet link. En nyttelast sendes derefter på offerets vegne, og en brugersession bliver stjålet.
De sårbare domæneproblemer omfattede en dårligt konfigureret Content Security Policy (CSP), parametre, der var sårbare over for XSS, SameSite og HTTPOnly-mekanismeomgåelse og et svagt punkt, der tillod fixering af cookie – muligheden for angribere at tvinge brugere til at bruge session-cookies, der er kendt for dem til godkendelsesformål.
Forskerne siger, at det var muligt at overtage konti, der er tilgængelige for disse underdomæner gennem cross-site scripting (XSS) og cross-site request forfalskning (CSRF) angreb. Derudover tillod de sårbare domæner også trusselaktører at kompromittere sessioner mellem klienten og webserveren, når en bruger var logget ind på deres konto.
”Med kun et klik kunne en angriber have brugt manglerne til at overtage konti og kontrollere nogle af Atlassians applikationer, herunder Jira og Confluence,” sagde forskerne.
Betydningen af disse angreb omfattede kontokapring, datatyveri, handlinger, der blev udført på vegne af en bruger, og adgang til Jira-billetter.
Atlassian blev informeret om holdets resultater den 8. januar inden offentliggørelse. En rettelse til de berørte domæner blev implementeret den 18. maj.
Atlassian fortalte ZDNet:
“Baseret på vores undersøgelse påvirker de beskrevne sårbarheder et begrænset sæt Atlassian-ejede webapplikationer samt en tredjeparts træningsplatform. Atlassian har sendt patches til at løse disse problemer, og ingen af disse sårbarheder påvirkede Atlassian Cloud (som Jira eller Confluence) Cloud) eller on-premise produkter (som Jira Server eller Confluence Server). “
Forskningen i Atlassian blev udført af CPR på grund af de løbende problemer omkring angreb på forsyningskæden, hvor trusselaktører vil målrette mod en central ressource, der bruges af andre virksomheder.
Hvis dette element kan blive kompromitteret – f.eks. ved at manipulere med opdateringskode, der skal skubbes ud til klienter i tilfælde af Codecov – så kan en bredere pulje af potentielle ofre nås med ringe indsats.
SolarWinds er også et godt eksempel på, hvor ødelæggende et angreb i forsyningskæden kan være. Ca. 18.000 SolarWinds-klienter modtog en ondsindet SolarWinds Orion-softwareopdatering, der plantede en bagdør i deres systemer; angriberne valgte imidlertid en håndfuld ofre til yderligere kompromis, herunder Microsoft, FireEye og en række føderale agenturer.
Tidligere og relateret dækning
Gennemsnitlig tid til at rette kritiske cybersikkerhedssårbarheder er 205 dage: rapport
Denne underlige hukommelseship-sårbarhed er endnu værre, end vi var klar over. Kritisk zoom-sårbarhed udløser fjernkode udførelse uden brugerinput
Har du et tip? Kontakt sikkert via WhatsApp | Signal ved +447713 025 499, eller derover ved Keybase: charlie0
Relaterede emner:
Sikkerhed TV Data Management CXO Data Centers 