Η Check Point Research (CPR) εντόπισε τα κενά ασφάλειας στην Atlassian, μια πλατφόρμα συνεργασίας και παραγωγής που χρησιμοποιούν 180.000 πελάτες παγκοσμίως.
Με ένα μόνο κλικ, ένας εισβολέας θα μπορούσε να είχε χρησιμοποιήσει τα κενά αυτά για να αναλάβει λογαριασμούς και να ελέγξει ορισμένες από τις εφαρμογές της Atlassian, συμπεριλαμβανομένων των Jira και Confluence.
To Jira είναι ένα κορυφαίο εργαλείο ανάπτυξης λογισμικού που χρησιμοποιείται από περισσότερους από 65.000 πελάτες, όπως η Visa, η Cisco και η Pfizer.
Το Confluence είναι ένας remote-friendly ομαδικός χώρος εργασίας που χρησιμοποιείται από περισσότερους από 60.000 πελάτες, όπως το LinkedIn, η NASA και η εφημερίδα New York Times.
Το Bitbucket είναι μια υπηρεσία φιλοξενίας πηγαίου κώδικα Git-based. Όλα αυτά τα προϊόντα μπορούν να χρησιμοποιηθούν σε μια επίθεση supply chain για να στοχεύσουν συνεργάτες και πελάτες της Atlassian.
Αξίζει να σημειωθεί ότι η ευπάθεια επηρέασε αρκετούς ιστότοπους στην Atlassian, οι οποίοι υποστηρίζουν πελάτες και συνεργάτες της. Δεν επηρεάζει τα cloud-based και τα κατ’ιδίαν προϊόντα της Atlassian.
Table of Contents
Ανάληψη Λογαριασμού
Η CPR απέδειξε ότι η ανάληψη λογαριασμού ήταν δυνατή σε λογαριασμούς της Atlassian, οι οποίοι είναι προσβάσιμοι μέσω subdomains στο atlassian.com. Τα ευάλωτα subdomains ήταν τα:
jira.atlassian.com
confluence.atlassian.com
getsupport.atlassian.com
partners.atlassian.com
developer.atlassian.com
support.atlassian.com
training.atlassian.com
Κενά Ασφαλείας
Τα κενά ασφαλείας θα επέτρεπαν σε έναν εισβολέα να εκτελέσει μια σειρά από πιθανές κακόβουλες δραστηριότητες:
- Επιθέσεις Cross-Site Scripting (XSS): εισάγονται κακόβουλα σενάρια σε ιστότοπους και εφαρμογές με σκοπό την εκτέλεση τους στη συσκευή του τελικού χρήστη.
- Επιθέσεις πλαστογραφίας αιτήσεων μεταξύ ιστότοπων (CSRF): ο εισβολέας παρακινεί τους χρήστες να εκτελέσουν ενέργειες που δεν προτίθενται να πραγματοποιήσουν.
- Επιθέσεις επιδιόρθωσης περιόδου λειτουργίας: ο εισβολέας κλέβει την περίοδο σύνδεσης μεταξύ του πελάτη και του Web Server με τη σύνδεση του χρήστη.
Με άλλα λόγια, ένας εισβολέας θα μπορούσε να χρησιμοποιήσει τα κενά ασφαλείας που εντοπίστηκαν από την CPR για να πάρει τον έλεγχο του λογαριασμού του θύματος, να εκτελέσει ενέργειες εκ μέρους του και να αποκτήσει πρόσβαση στα tickets της Jira. Επιπλέον, ένας εισβολέας θα μπορούσε να έχει επεξεργαστεί το wiki Confluence μιας εταιρείας ή να δει τα tickets στο GetSupport.
Ο εισβολέας θα μπορούσε επίσης να πάει ένα βήμα παραπέρα και να αποκτήσει προσωπικές πληροφορίες. Όλα αυτά θα μπορούσαν να επιτευχθούν με ένα μόνο κλικ.
Μεθοδολογία Επίθεσης
Για να εκμεταλλευτούν τα μειονεκτήματα ασφαλείας, η σειρά των κινήσεων ενός εισβολέα θα ήταν η εξής:
- Ο επιτιθέμενος παρασύρει το θύμα να κάνει κλικ σε έναν κατασκευασμένο σύνδεσμο (που προέρχεται από τον τομέα “Atlassian”), είτε στα Social Media, ή με ένα ψεύτικο email ή μια εφαρμογή ανταλλαγής μηνυμάτων κ.λπ.
- Κάνοντας κλικ στο σύνδεσμο, το ωφέλιμο φορτίο θα στείλει ένα αίτημα εκ μέρους του θύματος στην πλατφόρμα Atlassian, η οποία θα εκτελέσει την επίθεση και θα κλέψει τη σύνδεση του χρήστη.
- Ο επιτιθέμενος συνδέεται με τις Atlassian εφαρμογές του θύματος που σχετίζονται με τον λογαριασμό του, αποκτώντας όλες τις ευαίσθητες πληροφορίες που αποθηκεύονται εκεί.
Ενημέρωση με Υπευθυνότητα
Η CPR με υπευθυνότητα αποκάλυψε τα ευρήματά της στην Atlassian στις 8 Ιανουαρίου 2021. Η Atlassian δήλωσε ότι προχώρησε σε επιδιόρθωση στις 18 Μαΐου 2021.
Δήλωση του Oded Vanunu, Head of Products Vulnerabilities Research at Check Point Software:
“Οι επιθέσεις supply chain έχουν κινήσει το ενδιαφέρον μας καθ’ όλη τη διάρκεια της χρονιάς, ειδικά μετά το περιστατικό της SolarWinds. Οι πλατφόρμες της Atlassian είναι βασικές για τη ροή των εργασιών ενός οργανισμού. Ένα απίστευτο ποσοστό πληροφοριών για την αλυσίδα εφοδιασμού ρέει μέσω αυτών των εφαρμογών, καθώς και η μηχανική και η διαχείριση έργων. Ως εκ τούτου, αρχίσαμε να θέτουμε ένα κάπως ανησυχητικό ερώτημα: ποιες πληροφορίες θα μπορούσε να πάρει ένας κακόβουλος χρήστης εάν αποκτούσε πρόσβαση σε έναν λογαριασμό Jira ή Confluence; Η περιέργειά μας, μας οδήγησε να εξετάσουμε την πλατφόρμα της Atlassian, όπου κα βρήκαμε κενά ασφαλείας. Σε έναν κόσμο όπου το εργατικό δυναμικό εξαρτάται όλο και περισσότερο από εξ’αποστάσεως τεχνολογίες, είναι επιτακτική ανάγκη να διασφαλιστεί ότι οι τεχνολογίες αυτές έχουν την καλύτερη άμυνα ενάντια στην εξαγωγή δεδομένων. Ελπίζουμε ότι η τελευταία έρευνά μας θα βοηθήσει τους οργανισμούς να ευαισθητοποιηθούν όσον αφορά στις supply chain επιθέσεις.”