Az Atlassian, hibajavításokat adott ki a Jira Service Management Server, és a Data Center kritikus biztonsági hibájának megoldására, amellyel rosszindulatú hackerek élhettek vissza, hogy hamis felhasználónak adják ki magukat, és jogosulatlan hozzáférést szerezzenek fiókokhoz.
A sebezhetőséget CVE-2023-22501 néven követik nyomon (CVSS pontszám: 9.4), és úgy írják le, hogy a sérülékeny hitelesítés esete alacsony támadási komplexitással jár.
Az Atlassian közleménye szerint: ”Hitelesítési sebezhetőséget fedeztek fel a Jira Service Management Serverben, és a Data Centerben, amely lehetővé teszi, hogy egy támadó bizonyos körülmények között, más felhasználónak adja ki magát, és hozzáférjen egy Jira Service Management fiókhoz.”
"A felhasználói címtárhoz való szerkesztési hozzáféréssel, és a kimenő e-mailek engedélyezésével, egy Jira Service Management fiókon keresztül, egy támadó hozzáférhet a feliratkozási tokenekhez, amelyeket olyan felhasználóknak küldtek, akiknek a fiókjába soha nem jelentkeztek be.”
Az Atlassian megjegyezte, hogy a tokenek az alábbi két forgatókönyv bármelyikében megszerezhetőek:
Ha a támadó bejut olyan Jira-issue-ba, vagy request-be, amelyekben ezek a felhasználók szerepelnek, vagy
Ha a támadót továbbítják, esetleg más módon hozzáfér, az ezen felhasználóktól származó, "Kérelem megtekintése" linket tartalmazó e-mailekhez.
Az Atlassian arra is figyelmeztetett, hogy míg a Jira szolgáltatással a “csak olvasó” felhasználói könyvtárakon, vagy egyszeri bejelentkezésen (SSO) keresztül szinkronizált felhasználók nem érintettek, a külső ügyfelek, akik e-mailen keresztül lépnek kapcsolatba a fiókkal, érintettek, még akkor is, ha az SSO be van állítva.
Az ausztrál szoftverszolgáltató szerint a sebezhetőség az 5.3.0-s verzióban jelent meg, és érinti az összes későbbi, 5.3.1-es, 5.3.2-es, 5.4.0-s, 5.4.1-es és 5.5.0-s verziót. A javítások az 5.3.3, 5.3.3, 5.5.1 és 5.6.0 vagy későbbi verziókban váltak elérhetővé.
Az Atlassian hangsúlyozta, hogy a felhőben atlassian[.]net tartományon keresztül hosztolt Jira oldalakat nem érinti a hiba, és ebben az esetben nem szükséges semmilyen intézkedést tenni.
A közzététel több mint két hónappal azután érkezett, hogy a vállalat bezárta a Bitbucket Server, a Data Center és a Crowd termékek két kritikus biztonsági rését (CVE-2022-43781 és CVE-2022-43782), amelyeket kódfuttatásra, és privilegizált API végpontok meghívására lehetett kihasználni.
Mivel az Atlassian termékekben található hibák, az elmúlt hónapokban csábító támadási vektorokká váltak, a felhasználóknak elengedhetetlen, hogy a potenciális fenyegetések mérséklése érdekében frissítsék telepítéseiket, a legújabb verziókra.
Forrás: TheHackerNews