Informacje

Zdjęcie ilustracyjne / autor: Mat.Pras.
Zdjęcie ilustracyjne / autor: Mat.Pras.

Błędy bezpieczeństwa w platformie Atlassian. Hakerzy mogli przejąć konto jednym kliknięciem

Zespół wGospodarce

Zespół wGospodarce

Portal informacji i opinii o stanie gospodarki

  • Opublikowano: 24 czerwca 2021, 21:30

  • Powiększ tekst

Atlassian, czyli czołowa platforma dla zespołów tworzących rozwiązania IT posiadała luki bezpieczeństwa! Zagrożonych mogło być 180 tys. klientów na całym świecie – informuje Check Point Research. Zdaniem ekspertów wystarczyło jedno kliknięcie, by wykorzystać luki i uzyskać dostęp wrażliwych danych

Platforma współpracy zespołowej Atlassian, z której korzysta 180 000 klientów na całym świecie narażała swoich użytkowników na wycieki poufnych danych. Za odkryciem błędów bezpieczeństwa stoi zespół Check Point Research, który poinformował, że za pomocą „jednego kliknięcia” atakujący mógł wykorzystać luki do przejęcia kont i kontrolowania niektórych aplikacji Atlassian, w tym Jira i Confluence.

Luki w zabezpieczeniach umożliwiłyby atakującemu wykonanie szeregu możliwych złośliwych działań, takich jak:

• Ataki Cross-Site Scripting (XSS): złośliwe skrypty są wstrzykiwane do witryn i aplikacji internetowych w celu uruchomienia na urządzeniu użytkownika końcowego.

• Ataki typu cross-site request forgery (CSRF): osoba atakująca nakłania użytkowników do wykonywania działań, których nie zamierzają wykonywać.

• Ataki polegające na utrwalaniu sesji: osoba atakująca kradnie ustanowioną sesję między klientem a serwerem sieci Web po zalogowaniu się użytkownika.

Oznacza to, że atakujący mogli wykorzystać luki bezpieczeństwa do przejęcia kontroli nad kontem ofiary, wykonywania działań w jej imieniu i uzyskania dostępu do tzw. ticketów Jira. Ponadto hakerzy mogli edytować firmową wiki Confluence lub przeglądać zgłoszenia w GetSupport. Atakujący mógł zdobyć dane osobowe, a wszystko to można było wykonać zaledwie jednym kliknięciem!

  • Ataki na łańcuch dostaw wzbudzały duże zainteresowanie od czasu incydentu z SolarWinds. Platformy, których twórcą jest Atlassian są z kolei kluczowe dla przepływu pracy organizacji. Przez aplikacje oraz inżynierię i zarządzanie projektami przepływa niesamowita ilość informacji o łańcuchu dostaw. Dlatego zaczęliśmy zadawać nieco prowokacyjne pytanie: jakie informacje może uzyskać „złośliwy” użytkownik, jeśli uzyska dostęp do konta Jira lub Confluence? – mówi Oded Vanunu, Szef działu badań nad podatnościami produktów w Check Point Software.

Aby wykorzystać luki w zabezpieczeniach, atakujący musiał wykonać następujące kroki:

  1. Atakujący zachęca ofiarę do kliknięcia spreparowanego linku (pochodzącego z domeny „Atlassian”) z mediów społecznościowych, fałszywego e-maila lub aplikacji do przesyłania wiadomości itp.
  2. Klikając w link, payload wyśle żądanie w imieniu ofiary do platformy Atlassian, która dokona ataku i wykradnie sesję użytkownika.
  3. Atakujący loguje się do aplikacji Atlassian ofiary powiązanych z kontem, uzyskując wszystkie przechowywane tam poufne informacje.

  4. Nasza ciekawość skłoniła nas do sprawdzenia platformy Atlassian, w której ostatecznie znaleźliśmy luki w zabezpieczeniach. Mamy nadzieję, że nasze najnowsze badania pomogą organizacjom w podnoszeniu świadomości na temat ataków w łańcuchu dostaw – dodaje Oded Vananu.

Check Point ujawnił wyniki swoich badań firmie Atlassian 8 stycznia 2021 r. Ta z kolei poinformowała, że poprawka bezpieczeństwa została ostatecznie wdrożona 18 maja 2021 r. Luka dotyczyła kilku serwisów internetowych Atlassian, które wspierają klientów i partnerów. Co ważne, nie dotyczy produktów Atlassian w chmurze ani produktów lokalnych. Eksperci udowodnili, że przejęcie było możliwe na kontach Atlassian dostępnych przez subdomeny atlassian.com.

Jira to wiodące narzędzie do tworzenia oprogramowania, z którego korzysta ponad 65 000 klientów, w tym Visa, Cisco i Pfizer. Z kolei Confluence to zdalna przestrzeń do pracy zespołowej, z której korzysta ponad 60 tys. klientów, takich jak LinkedIn, NASA i New York Times. Trzecia z aplikacji - Bitbucket to usługa hostingu repozytorium kodu źródłowego oparta na Git. Wszystkie te produkty można wykorzystać w ataku na łańcuch dostaw, którego celem są partnerzy i klienci Atlassian.

Czytaj też: Premier: Będę bardzo mocno wskazywał na Rosję w kontekście cyberataków

Mat.pras./KG

Powiązane tematy

Zapraszamy do komentowania artykułów w mediach społecznościowych