Adam Bannister 26 Ekim 2022, 16:00 UTC
Güncelleme: 27 Ekim 2022 09:13 UTC
Atlassian, araştırmacının daha da ciddi bir etkiyle ilgili spekülasyonlarını reddediyor
GÜNCELLENMİŞ Bir güvenlik araştırmacısının bulduğuna göre, Jira Align’da yamalanan bir çift güvenlik açığı, düşük ayrıcalıklı kötü niyetli kullanıcıların ayrıcalıklarını süper yöneticiye yükseltmelerine olanak sağlayabilirdi.
Jira Align, kuruluşların bulutta son derece popüler hata izleme ve proje yönetimi uygulaması olan Atlassian Jira dağıtımlarını ölçeklendirebilecekleri bir hizmet olarak yazılım (SaaS) platformudur.
Bir Bishop Fox güvenlik araştırmacısı, “kişiler” iznine sahip kullanıcıların veya başka herhangi bir kullanıcının ayrıcalıklarını MasterUserEdit API (CVE-2022) aracılığıyla “süper yönetici” olarak yükseltmelerine olanak tanıyan yüksek önemde (CVSS 8.8) bir yetkilendirme denetimi hatası buldu. -36803).
Araştırmacı, daha sonra, orta derecede önemdeki (CVSS 4.9) sunucu tarafı istek sahteciliği (SSRF) hatasının (CVE-2022-36802) kötüye kullanılmasının, saldırganların Jira Align örneğini dağıtan Atlassian hizmet hesabının AWS kimlik bilgilerini aldığını görebileceğini söylüyor.
Yanlış Hizalanmış izinler
Bishop Fox’un kıdemli güvenlik danışmanı Jake Shafer, süper yöneticilerin diğer şeylerin yanı sıra Jira bağlantılarını değiştirebileceğini, kullanıcı hesaplarını sıfırlayabileceğini ve güvenlik ayarlarını değiştirebileceğini söyledi.
Saldırganlar ayrıca “SaaS istemcisinin Jira dağıtımında sahip olduğu her şeye erişebilir (veya her şeyi çevrimdışına alabilir, ancak bu durumda bazı yedeklerin olmasını umardım)” dedi. Günlük Swig.
“Kalem testi deneyimime göre, bu, kimlik bilgileri ve müşteri bilgilerinden kendi uygulamalarındaki ve yazılımlarındaki yama uygulanmamış güvenlik açıklarıyla ilgili ayrıntılara kadar her şey olabilir.”
En son bulut güvenliği haberlerini yakalayın
Shafer ayrıca, testinin “Atlassian altyapısının kenarında durmasına” rağmen, SSRF’den “doğru koşullar altında” yararlanmanın teorik olarak saldırganların Atlassian’ın AWS altyapısı aracılığıyla yanlamasına veya yukarı doğru hareket etmesine olanak sağlayabileceğini tahmin etti.
Ancak Atlassian, gelen sorgulara yanıt olarak bu iddiaya itiraz etti. Günlük Swig, “Jira Align’ın SaaS’sinin ve Atlassian’ın daha geniş SaaS’sinin bağlantılı olmadığını vurgulayarak. Jira Align AWS ortamı, şifrelenmemiş ve diğer katmanlara ulaşılamayan erişilebilir hiçbir bilgi olmayacak seviyeye kilitlendi, bu nedenle bu tamamen varsayımsal ve yanıltıcı bir ifadedir”.
Kusurlar 10.107.4 sürümünü etkiler ve 22 Temmuz 2022’de yayınlanan 10.109.3’te yamalandı.
Sorunlar 31 Mayıs 2022’de ortaya çıkarıldı ve 6 Haziran’da Atlassian’a bildirildi ve satıcı başlangıçta 9 Haziran’da SSRF’ye bir düzeltme ile hitap etti.
Atlassian’ın bilgi güvenliği şefi Bala Sathiamurthy şunları söyledi: Günlük Swig: “Bunlar hem bilinen hem de yama uygulanan orta düzeyde güvenlik açıklarıdır. Güvenlik İstihbaratı ekibimiz, Atlassian tarafından barındırılan bir Bulut teklifinde Jira Align kullanan hiçbir müşterinin güvenlik açığından yararlanılmadığını doğruladı.”
“Her zaman olduğu gibi, sunucu ve veri merkezi müşterilerimizin en son özellikleri ve düzeltmeleri alabilmeleri için en son güvenlik yamalarını ve azaltmalarını en kısa sürede uygulamalarını öneriyoruz. Ayrıca, yükseltmeleri ve güvenlik yamalarını otomatik olarak almalarını sağlamak için müşterilerimizin Atlassian ürünlerinin bulut sürümlerine geçmelerini öneriyoruz.”
Kişi izinleri
‘Kişi’ izinlerinin rolü, bir örneğin yapılandırmasına bağlı olarak değişir. Shafer, Bishop Fox güvenlik danışma belgesinde, “Test amacıyla sağlanan korumalı alan ortamında, bu izin ‘program yöneticisi’ rolüne eklendi, ancak ‘insanlar’ izniyle herhangi bir rol tarafından kullanılabilir,” dedi Shafer.
Bu, “doğrudan API’ye yapılan rol değişikliği talebini durdurarak ve parametreyi “olarak değiştirerek” veya oturum çerezlerini içeren bir istekle bir API çağrısı gerçekleştirerek yapılabilir.
SSRF, harici bağlantıları yöneten Jira Align API’sinde bulunur.
Kullanıcı tarafından sağlanan bir URL değeri, ilgili API konumuna işaret eder. Jira Align, /rest/api/2/’yi URL sunucusu tarafına otomatik olarak ekledi, ancak daha fazla ‘#’ eklenmesi “saldırganın herhangi bir URL belirtmesine izin verir”, diye uyardı Shafer.
Bu makale 27 Ekim’de Atlassian’ın, ayrıntılı güvenlik açıklarının saldırganların Atlassian bulut altyapısını hedeflemesine olanak sağlayamayacağı iddiası da dahil olmak üzere yaptığı yorumla güncellendi.
ÖNERİLEN Kod olarak politika yaklaşımı, “bulutta yerel” güvenlik risklerine karşı koyar