Команда исследователей Check Point Research (CPR), подразделения Check Point® Software Technologies Ltd., ведущего поставщика решений в области кибербезопасности, обнаружила уязвимости в Atlassian, платформе для разработки программного обеспечения и управления проектами.
Ее используют 180 000 клиентов по всему миру. Злоумышленники могли эксплуатировать эти уязвимости, чтобы получить доступ к некоторым приложениям Atlassian, например, к системе отслеживания ошибок Jira, вики-системе Confluence и другим.
Jira — программный инструмент для управления проектами, которым пользуются более 65 000 компаний, такие как Visa, Cisco и Pfizer.
Confluence — это удаленная командная рабочая среда, которую используют более 60 000 клиентов, например, LinkedIn, NASA и New York Times.
Все эти продукты могут быть использованы в атаке на цепочку поставок, нацеленной на партнеров и клиентов Atlassian. Уязвимость затронула несколько сайтов, поддерживаемых Atlassian, которые обслуживают клиентов и партнеров.
Захват аккаунта
Check Point Research выяснил, что захват учетной записи возможен на следующих поддоменах atlassian.com:
- jira.atlassian.com
- confluence.atlassian.com
- getsupport.atlassian.com
- partners.atlassian.com
- developer.atlassian.com
- support.atlassian.com
- training.atlassian.com
Недостатки безопасности
Обнаруженные уязвимости позволили бы злоумышленникам выполнять ряд возможных вредоносных действий:
∙ Атаки с использованием межсайтовых сценариев (XSS), когда вредоносные сценарии внедряются в сайты и веб-приложения с целью запуска на устройстве конечного пользователя.
∙ Атаки с межсайтовой подделкой запросов (CSRF), в рамках которых злоумышленники побуждают пользователей выполнять действия, которые они не собирались совершать.
∙ Атаки фиксации сеанса: когда злоумышленники перехватывают сеанс между клиентом и веб-сервером после входа пользователя в систему.
Другими словами, злоумышленник может использовать найденные уязвимости, чтобы получить контроль над учетной записью жертвы, выполнять действия от ее имени и получать доступ к тикетам Jira. Кроме того, хакеры смогли бы редактировать корпоративные страницы Confluence или просматривать тикеты техподдержки. Злоумышленник мог завладеть личной информацией в один клик.
Методология атаки
Схема атаки следующая:
- Хакер убеждает жертву перейти по созданной ссылке, имитирующей домен Atlassian — из социальных сетей, поддельного электронного письма или мессенджера.
- При нажатии на ссылку загружается вредоносное ПО, которое отправляет запрос от имени жертвы на платформу Atlassian, а затем перехватывает сеанс пользователя.
- Злоумышленник получает учетные данные приложений Atlassian, а также и доступ к конфиденциальной информации жертвы, которая там хранится.
Check Point Research предоставил результаты исследования компании Atlassian 8 января 2021 года, которая, в свою очередь сообщила от том, что развернула исправления 18 мая 2021 года.
«Атаки на цепочки поставок вызывали у нас интерес весь год, начиная с инцидента с SolarWinds, — комментирует Одед Вануну, руководитель отдела исследования уязвимостей продуктов в Check Point Software Technologies. — Платформы Atlassian занимают центральное место в рабочем процессе организации. Через эти приложения проходит невероятное количество информации о цепочке поставок, проектировании и управлении проектами. Поэтому мы начали задавать несколько провокационный вопрос: какую информацию может получить злоумышленник, если он войдет в учетную запись Jira или Confluence? Наше любопытство привело нас к просмотру платформы Atlassian, в которой мы обнаружили недостатки безопасности. В мире, где распределенная рабочая сила все больше зависит от удаленных технологий, крайне важно обеспечить, чтобы эти технологии имели лучшую защиту от злонамеренного извлечения данных. Мы надеемся, что наши последние исследования помогут организациям повысить осведомленность об атаках на цепочки поставок».