Команда исследователей Check Point обнаружила уязвимости в Atlassian, платформе для разработки ПО и управления проектами, которую используют 180 000 клиентов по всему миру. Уязвимости позволяли захватывать учетные записи Atlassian, а также получить доступ к исходному коду, размещенному на Bitbucket.

Эксперты выявили ряд уязвимостей, затрагивающих несколько приложений Atlassian, подключенных через SSO. Затронутые субдомены, где был возможен захват учетной записи, включают: jira.atlassian.com, confluence.atlassian.com, getsupport.atlassian.com, partners.atlassian.com, developer.atlassian.com, support.atlassian.com и training.atlassian.com.

Обнаруженные уязвимости позволяли атакующим выполнять различные атаки, включая XSS, CSRF, а также обход защитных решений SameSite и HTTPOnly. Другими словами, злоумышленник мог использовать найденные уязвимости, чтобы получить контроль над учетной записью жертвы, выполнять действия от ее имени, и, к примеру, получить доступ к тикетам Jira. Кроме того, хакеры могли  редактировать корпоративные страницы Confluence, получить доступ к репозиториям Bitbucket и просматривать тикеты техподдержки. Исследователи подчеркивают, что злоумышленник мог завладеть личной информацией в один клик.

Эксплуатировать обнаруженные специалистами проблемы было нетрудно. Хакеру нужно было убедить жертву перейти по ссылке, имитирующей домен Atlassian (из социальных сетей, поддельного электронного письма или мессенджера). После нажатия на такую ссылку загружалась малварь, которая отправляла Atlassian запрос от имени жертвы, а затем перехватывала сеанс. В итоге злоумышленник получал учетные данные приложений Atlassian, а также и доступ к конфиденциальной информации жертвы.

«Атаки на цепочки поставок вызывали у нас интерес весь год, начиная с инцидента с SolarWinds, — комментирует Одед Вануну, руководитель отдела исследования уязвимостей продуктов в Check Point Software Technologies. —Atlassian занимает центральное место в рабочем процессе организации. Через эти приложения проходит невероятное количество информации о цепочке поставок, проектировании и управлении проектами. Поэтому мы начали задавать несколько провокационный вопрос: какую информацию может получить злоумышленник, если он войдет в учетную запись Jira или Confluence? Наше любопытство привело нас к изучению платформы Atlassian, в которой мы обнаружили недостатки безопасности. В мире, где распределенная рабочая сила все больше зависит от удаленных технологий, крайне важно обеспечить, чтобы эти технологии имели лучшую защиту от злонамеренного извлечения данных».

Эксперты Check Point предоставили результаты исследования компании Atlassian 8 января 2021 года, которая развернула исправления 18 мая 2021 года.

Оставить мнение