Le vulnerabilità che potrebbero consentire l'acquisizione di account XSS, CSRF e con un clic nei sottodomini Atlassian sono state corrette.
Giovedì, Check Point Research (CPR) ha dichiarato che i bug sono stati trovati nei domini online del fornitore di soluzioni software, utilizzati da migliaia di clienti aziendali in tutto il mondo.
Il fornitore australiano è il fornitore di strumenti tra cui Jira, un sistema di gestione dei progetti e Confluence, una piattaforma di collaborazione documentale per team remoti.
Le vulnerabilità in questione sono state rilevate in numerosi siti Web gestiti da Atlassian, piuttosto che in prodotti Atlassian on-premise o basati su cloud.
I sottodomini di atlassian.com, inclusi partner, sviluppatori, supporto, Jira, Confluence e training.atlassian.com erano vulnerabili all'acquisizione dell'account.
CPR ha spiegato che il codice di exploit che utilizza le vulnerabilità nei sottodomini potrebbe essere distribuito tramite una vittima che fa clic su un collegamento dannoso. Verrebbe quindi inviato un payload per conto della vittima e una sessione utente sarebbe stata rubata.
I problemi del dominio vulnerabile includevano una Content Security Policy (CSP) mal configurata, parametri vulnerabili al bypass del meccanismo XSS, SameSite e HTTPOnly e un punto debole che consentiva la fissazione dei cookie: l'opzione per gli aggressori di costringere gli utenti a utilizzare i cookie di sessione noti a loro per scopi di autenticazione.
I ricercatori affermano che è stato possibile rilevare gli account accessibili da questi sottodomini tramite attacchi di cross-site scripting (XSS) e cross-site request forgery (CSRF). Inoltre, i domini vulnerabili hanno anche consentito agli attori delle minacce di compromettere le sessioni tra il client e il server Web una volta che un utente ha effettuato l'accesso al proprio account.
“Con un solo clic, un utente malintenzionato avrebbe potuto utilizzare i difetti per acquisire account e controllare alcune delle applicazioni di Atlassian, tra cui Jira e Confluence”, hanno affermato i ricercatori.
Le ramificazioni di questi attacchi includevano il dirottamento dell'account, il furto di dati, le azioni eseguite per conto di un utente e l'ottenimento dell'accesso ai ticket Jira.
Atlassian è stato informato dei risultati del team l'8 gennaio, prima della divulgazione pubblica. Una correzione per i domini interessati è stata implementata il 18 maggio.
Atlassian ha dichiarato a ZDNet:
“In base alla nostra indagine, le vulnerabilità delineate hanno un impatto su un set limitato di applicazioni Web di proprietà di Atlassian e su una piattaforma di formazione di terze parti. Atlassian ha fornito patch per risolvere questi problemi e nessuna di queste vulnerabilità ha interessato Atlassian Cloud (come Jira o Confluence Cloud) o prodotti on-premise (come Jira Server o Confluence Server).”
La ricerca su Atlassian è stata eseguita da CPR a causa dei problemi in corso relativi agli attacchi alla catena di approvvigionamento, in cui gli attori delle minacce prenderanno di mira una risorsa centralizzata utilizzata da altre aziende.
Se questo elemento può essere compromesso, ad esempio manomettendo il codice di aggiornamento che deve essere inviato ai client nel caso di Codecov, è possibile raggiungere un pool più ampio di potenziali vittime con poco sforzo.
Anche SolarWinds è un ottimo esempio di quanto possa essere devastante un attacco alla catena di approvvigionamento. Circa 18.000 clienti SolarWinds hanno ricevuto un aggiornamento software SolarWinds Orion dannoso che ha creato una backdoor nei loro sistemi; tuttavia, gli aggressori hanno selezionato una manciata di vittime per ulteriori compromessi, tra cui Microsoft, FireEye e un certo numero di agenzie federali.
Copertura precedente e correlata
Il tempo medio per correggere le vulnerabilità critiche della sicurezza informatica è di 205 giorni: segnala
Questa strana vulnerabilità del chip di memoria è persino peggiore di quanto pensassimo
La vulnerabilità critica di Zoom attiva il codice remoto esecuzione senza input dell'utente
Hai un consiglio? Mettiti in contatto in modo sicuro tramite WhatsApp | Segnale al +447713 025 499 o tramite Keybase: charlie0
Argomenti correlati:
Security TV Data Management CXO Data Center 