Atlassian likwiduje poważny błąd w uwierzytelnianiu w Jirze

Atlassian ujawnił, że naprawił poważną lukę w swoich produktach Service Management Server i Data Center.

Luka, oznaczona jako CVE-2023-22501, pozwala na podszywanie się pod ludzi i uzyskiwanie dostępu do instancji Jira Service Management w pewnych okolicznościach. Otrzymała ona ocenę dotkliwości 9.4, co czyni ją luką krytyczną.

„Mając włączony dostęp do zapisu w User Directory i wychodzącej poczty elektronicznej na instancji Jira Service Management, napastnik mógł uzyskać dostęp do tokenów rejestracji wysyłanych do użytkowników z kontami, które nigdy nie były zalogowane” – zauważyła firma Atlassian w opisie luki.

Firma wyjaśniła, że cyberprzestępca może być w stanie uzyskać tokeny poprzez bycie włączonym do spraw lub żądań Jira z użytkownikami, lub jeśli w jakiś sposób uzyska wiadomość e-mail z linkiem „View Request”.

„Konta botów są szczególnie podatne na ten scenariusz” – wyjaśnił dalej Atlassian. „Na instancjach z pojedynczym logowaniem, konta klientów zewnętrznych mogą być dotknięte w projektach, w których każdy może stworzyć własne konto”.

Oto wersje Jiry podatne na lukę: 5.3.0; 5.3.1; 5.3.2; 5.4.0; 5.4.1 oraz 5.5.0. Aby zabezpieczyć się, należy zaktualizować Jirę do wersji 5.3.3; 5.4.2; 5.5.1 lub 5.6.0.

Produkty Atlassian wydają się być popularnym celem wśród cyberprzestępców. W październiku ubiegłego roku amerykańska agencja ds. cyberbezpieczeństwa i infrastruktury (CISA) zauważyła, że dziura o wysokim stopniu szkodliwości znaleziona w dwóch powszechnie używanych narzędziach Atlassian Bitbucket — Server i Data Center, była aktywnie wykorzystywana przez hakerów.

Wcześniej, w lipcu, poinformowano, że Jira, Confluence i Bamboo były podatne na zagrożenie CVE-2022-26136, czyli arbitralne obejście filtrów serwletów, które umożliwiały hakerom obejście niestandardowych filtrów serwletów, które aplikacje firm trzecich wykorzystują do uwierzytelniania. Błąd został uznany za wysoce poważny.