在Atlassian的Jira Align平台中发现潜在广泛影响的漏洞
Atlassian云端Jira Align安全漏洞报告
关键要点
BishopFox研究人员在Atlassian的Jira Align云平台上发现了两个漏洞。推荐用户尽快更新到版本101093或更高版本。漏洞包括服务器端请求伪造(SSRF)和不足的授权控制。 Atlassian已确认这些漏洞是已知且已修补的中等严重性问题。研究人员在星期一发现Atlassian的云端Jira Align开发环境软件存在两个漏洞,建议安全团队通过更新至版本101093或更新版本来修复。
在一篇博客文章中,BishopFox研究人员表示,第一个漏洞是“连接器”设置中的服务器端请求伪造SSRF漏洞,允许用户检索为Jira Align实例提供服务的Amazon Web ServicesAWS服务账户的凭证。
第二个漏洞是“人员”权限中的授权控制不足漏洞,任何拥有该权限的用户都可以将自己的角色提升为超级管理员。
Jira Align是一个知名的企业敏捷规划平台,有助于将编码工作与产品和项目组合管理相连接,并且允许开发者通过创建实时报告来组织和管理数据。
由于Jira在众多组织中的广泛使用,这些漏洞可能会造成广泛的影响,Vulcan Cyber的高级技术工程师Mike Parkin表示。然而,Parkin提到一些缓解因素。
ins免费加速器下载安卓版对于第一个漏洞,Parkin表示目前尚不清楚攻击者是否可以利用该漏洞深入到Atlassian系统,或者未注册的攻击者是否能执行攻击。而对于第二个漏洞,似乎攻击者必须在实例中具有现有凭证才能提升特权。
“虽然这在一定程度上减少了来自外部威胁的风险,但对内部人员或已经获取目标系统被盗凭证的攻击者没有任何作用,”Parkin说,“希望Atlassian能快速解决这些问题。”
Salt Security的现场首席技术官Nick Rago补充道,这类漏洞的挑战在于它们在Jira Align应用的Web界面中并不可见。虽然浏览器中的展示层具备logic来限制对某些功能例如选择超级管理员角色的UI访问,但是底层API在授权方面未经过强化以防范此类业务逻辑攻击。
“这使得潜在攻击者能够绕过任何施加在他们身上的UX限制,”Rago解释说。
在10月26日发给SC Media的声明中,Atlassian的首席信息安全官Bala Sathiamurthy对BishopFox关于漏洞的博客文章作出回应:
“这些都是已知并已修补的中等严重性漏洞。我们的安全情报团队已确认,使用Atlassian托管云服务的Jira Align客户没有遭遇这些漏洞的利用。
“服务器端请求伪造SSRF漏洞是一个已知漏洞,补丁已于6月9日发布以缓解该问题。我们的安全情报团队也验证了,使用Atlassian托管云服务的Jira Align客户没有遭遇此漏洞的利用。详细信息可在此处查阅:1010742热修复说明。对于授权控制不足的漏洞,我们于7月22日发布了补丁,我们的安全情报团队也验证了,使用Atlassian托管云服务的Jira Align客户没有遭遇此漏洞的利用。
“一如既往,我们建议我们的服务器和数据中心客户尽快应用最新的安全补丁和缓解方案,以确保获得最新的功能和修复。同时,我们也建议客户切换到Atlassian产品的云版本,以确保他们能够自动接收升级和安全补丁。”
