Araştırmacı, örneğin ötesinde yanal veya yukarı doğru hareket teorik olarak mümkündü.
Bir güvenlik araştırmacısı, Jira Align’da yamalanan bir çift güvenlik açığının “en kötü durum senaryosunda” düşük ayrıcalıklı kötü niyetli kullanıcılar tarafından Atlassian’ın bulut altyapısını hedef almak için birleştirilebileceği konusunda uyarıyor.
Jira Align, kuruluşların bulutta son derece popüler hata izleme ve proje yönetimi uygulaması olan Atlassian Jira dağıtımlarını ölçeklendirebilecekleri bir hizmet olarak yazılım (SaaS) platformudur.
Bir Bishop Fox güvenlik araştırmacısı, “kişiler” iznine sahip kullanıcıların veya başka herhangi bir kullanıcının ayrıcalıklarını MasterUserEdit API (CVE-2022) aracılığıyla “süper yönetici” olarak yükseltmelerine olanak tanıyan yüksek önemde (CVSS 8.8) bir yetkilendirme denetimi hatası buldu. -36803).
Daha sonra, orta önemde (CVSS 4.9) sunucu tarafı istek sahteciliği (SSRF) hatasının kötüye kullanılması (CVE-2022-36802), saldırganların Jira Align örneğini dağıtan Atlassian hizmet hesabının AWS kimlik bilgilerini aldığını görebilir.
Yanlış Hizalanmış izinler
Bishop Fox’un kıdemli güvenlik danışmanı Jake Shafer, süper yöneticilerin diğer şeylerin yanı sıra Jira bağlantılarını değiştirebileceğini, kullanıcı hesaplarını sıfırlayabileceğini ve güvenlik ayarlarını değiştirebileceğini söyledi.
Saldırganlar ayrıca “SaaS istemcisinin Jira dağıtımında sahip olduğu her şeye erişebilir (veya her şeyi çevrimdışına alabilir, ancak bu durumda bazı yedeklerin olmasını umardım)” dedi. Günlük Swig.
“Kalem testi deneyimime göre, bu, kimlik bilgileri ve müşteri bilgilerinden kendi uygulamalarındaki ve yazılımlarındaki yamalanmamış güvenlik açıklarıyla ilgili ayrıntılara kadar her şey olabilir.
En son bulut güvenliği haberlerini yakalayın
“İyi bir nedenle, testlerim doğru koşullar altında Atlassian altyapısının kenarında durdu. [leveraging the SSRF] potansiyel olarak, Atlassian’ın AWS altyapısı aracılığıyla yatay veya yukarı doğru hareket yoluyla diğer müşteri verilerine erişim elde etmek anlamına gelir.
“Atlassian bu müşterilere bulut kiracıları sağladığından, SaaS sağlayıcısının altyapısına erişim elde etmek hemen hemen en kötü durum senaryosu.”
Kusurlar 10.107.4 sürümünü etkiler ve 22 Temmuz 2022’de yayınlanan 10.109.3’te yamalandı.
Kişi izinleri
‘Kişi’ izinlerinin rolü, bir örneğin yapılandırmasına bağlı olarak değişir. Shafer, Bishop Fox güvenlik danışma belgesinde, “Test amacıyla sağlanan korumalı alan ortamında, bu izin ‘program yöneticisi’ rolüne eklendi, ancak ‘insanlar’ izniyle herhangi bir rol tarafından kullanılabilir,” dedi Shafer.
Bu, “doğrudan API’ye yapılan rol değişikliği talebini durdurarak ve parametreyi “olarak değiştirerek” veya oturum çerezlerini içeren bir istekle bir API çağrısı gerçekleştirerek yapılabilir.
SSRF, harici bağlantıları yöneten Jira Align API’sinde bulunur.
Kullanıcı tarafından sağlanan bir URL değeri, ilgili API konumuna işaret eder. Jira Align, /rest/api/2/’yi URL sunucusu tarafına otomatik olarak ekledi, ancak daha fazla ‘#’ eklenmesi “saldırganın herhangi bir URL belirtmesine izin verir”, diye uyardı Shafer.
Sorunlar 31 Mayıs 2022’de ortaya çıkarıldı ve 6 Haziran’da Atlassian’a bildirildi ve satıcı ilk olarak 28 Haziran’da SSRF’ye 10.108.3.5 düzeltme sürümüyle hitap etti.
Günlük Swig Atlassian’ı yorum yapmaya davet etti. Bunu yaparlarsa makaleyi güncelleyeceğiz.
ÖNERİLEN Kod olarak politika yaklaşımı, “bulutta yerel” güvenlik risklerine karşı koyar