Atlassians säkerhetsfel kunde ha möjliggjort överföring av ett företagsappkonto med ett klick

0 Shares

Efter förra årets SolarWinds-hack beslutade Check Point Research (CPR) att utreda Atlassian för att se om dess plattform som används av 180 000 kunder över hela världen skulle kunna bli offer för en liknande attack i leveranskedjan.

Cybersäkerhetsföretaget kunde kringgå Atlassians säkerhetsåtgärder och fann säkerhetsfel i samarbetsprogramvaran och utvecklarverktygen.

Enligt ett nytt blogginlägg från CPR kunde en angripare ha utnyttjat dessa brister med bara ett klick för att få tillgång till Atlassian Jira-bugssystemet och hämta känslig information om Atlassian-molnet, Bitbucket och företagets lokala produkter.

För de som inte känner till är Jira ett programvaruutvecklingsverktyg som används av över 65 000 kunder inklusive Visa, Cisco och Pfizer, Confluence är ett arbetsarbetsområde som används av över 60 000 kunder inklusive LinkedIn, NASA och New York Times och Bitbucket är en Git-baserad källkod värdtjänst för förvar. En angripare kan eventuellt använda alla dessa produkter i en försörjningskedjeattack för att rikta sig mot både Atlassians partners och kunder.

Chef för produkt- och sårbarhetsforskning vid HLR, Oded Vanunu förklarade i ett uttalande varför företagets säkerhetsforskare bestämde sig för att utreda Atlassians plattform i första hand och sa:

”Attacker i försörjningskedjan har väckt vårt intresse hela året, ända sedan SolarWinds-incidenten. Plattformarna från Atlassian är centrala för en organisations arbetsflöde. Otroligt mycket information om försörjningskedjan flödar genom dessa applikationer, liksom teknik och projektledning. Därför började vi ställa en lite provocerande fråga: vilken information kan en skadlig användare få om de öppnar ett Jira- eller ett Confluence-konto? Vår nyfikenhet fick oss att granska Atlassians plattform, där vi hittade säkerhetsfel. I en värld där distribuerad arbetskraft i allt större utsträckning är beroende av fjärrteknologi är det absolut nödvändigt att se till att dessa tekniker har det bästa försvaret mot skadlig dataextraktion. Vi hoppas att vår senaste forskning kommer att hjälpa organisationer att öka medvetenheten om supply chain-attacker. ”

Kontoövertagande

CPR noterade i sin rapport om saken att de brister som den hittade påverkar flera webbplatser som underhålls av Atlassian som stöder kunder och partners även om företagets molnbaserade eller lokala produkter inte påverkas.

Cybersäkerhetsföretaget kunde också bevisa att kontoövertagande var möjligt för Atlassian-konton som är tillgängliga med underdomäner under dess huvudsakliga webbplats som inkluderar jira.atlassian.com, confluence.atlassian.com, getsupport.atlassian.com, partners.atlassian.com , developer.atlassian.com, support.atlassian.com och training.atlassian.com.

Säkerhetsbristerna i Atlassian-plattformen kunde ha gjort det möjligt för en angripare att utföra XSS-attacker (cross-site-scripting), attacker på begäran om förfalskning på flera platser (CSRF) och attacker för session fixering. Med bara ett klick kan en angripare ta över offrets Atlassian-konto, utföra åtgärder på uppdrag av dem, få tillgång till Jira-biljetter, redigera ett företags Confluence-wiki eller se biljetter på GetSupport.

HLR avslöjade ansvarsfullt de säkerhetsfel som de upptäckte för Atlassian i början av januari och företaget använde en korrigering för dem den 18 maj.

0 Shares