Исследователи кибербезопасности раскрыли критические узявимости в платформе для разработки проектов и программного обеспечения Atlassian, которые можно было использовать для кражи учетной записи и получения контроля над некоторыми приложениями, подключенными с помощью функции single sign-on (SSO).
«Всего одним щелчком мыши злоумышленник мог воспользоваться багом чтобы получить доступ к публикуемой Atlassian системе Jira и украсть конфиденциальную информацию, например, о проблемах безопасности в облаке Atlassian, Bitbucket и локальных продуктах» - сообщается в анализе Check Point Research, предоставленном изданию The Hacker News.
После того, как о проблемах было сообщено Atlassian 8 января 2021 года, австралийская компания развернула исправление в рамках обновлений, выпущенных 18 мая. Поддомены, затронутые дефектами, включают:
- jira.atlassian.com
- confluence.atlassian.com
- getsupport.atlassian.com
- partners.atlassian.com
- developer.atlassian.com
- support.atlassian.com
- training.atlassian.com
Успешная эксплуатация этих уязвимостей может привести к атаке на цепочку поставок, в результате которой злоумышленник может завладеть учетной записью, используя ее для выполнения несанкционированных действий от имени жертвы, редактирования страниц Confluence, доступа к тикетам Jira и даже внедрения вредоносного кода для организации дальнейших атак.
Баги связаны с тем, что Atlassian использует SSO для обеспечения беспрепятственной навигации между вышеупомянутыми доменами, что создает потенциальный сценарий атаки включающий в себя внедрение вредоносного кода в платформу с помощью XSS и CSRF и последующее использование уязвимости фиксации сессии для перехвата действительной сессии пользователя и получения контроля над учетной записью.
Другими словами, злоумышленник может обманом заставить пользователя перейти по специально созданной ссылке Atlassian чтобы выполнить вредоносный код. Код похищает сессию пользователя, которая затем может быть использована атакующим для входа в учетную запись жертвы и получения конфиденциальной информации.
Более того, вооружившись учетной записью Jira, злоумышленник может получить контроль над учетной записью Bitbucket через тикетав Jira с вредоносной ссылкой на фишинговый веб-сайт, который при переходе по автоматически сгенерированному сообщению электронной почты, может быть использован для кражи учетных данных, фактически предоставляя права доступа на изменение исходного кода, публикацию репозитория или даже внедрение в код бэкдоры.
«Атаки на цепочки поставок вызывали наш интерес весь год, с момента инцидента с SolarWinds. Платформы от Atlassian занимают центральное место в рабочем процессе многих компаний» - заявил Одед Вануну, руководитель отдела исследований уязвимостей продуктов в Check Point. «Через эти приложения проходит невероятное количество информации о цепочках поставок, а также об инженерных работах и управлении проектами».
«В мире, где распределенная рабочая сила все больше зависит от технологий с удаленным доступом, крайне важно обеспечить наилучшую защиту этих технологий от вредоносного извлечения данных» - добавил Вануну.
Перевод сделан со статьи: https://thehackernews.com