Jira è leader tra i tool di sviluppo software, utilizzato da oltre 65.000 clienti, come Visa, Cisco e Pfizer. Confluence è uno spazio di lavoro remote friendly utilizzato da oltre 60.000 clienti, come LinkedIn, NASA e il New York Times. Bitbucket è un servizio di hosting di code repository sorgente Git-base. Tutti questi prodotti possono essere utilizzati in un attacco alla supply chain per colpire partner e clienti Atlassian.
La vulnerabilità ha colpito diversi siti web gestiti da Atlassian, che supportano clienti e partner. Non ha colpito i prodotti Atlassian cloud-based o on-premise.
“Gli attacchi alla supply chain hanno catturato il nostro interesse per tutto l’anno, fin dall’evento che ha coinvoltoSolarWinds. Le piattaforme di Atlassian sono centrali per il workflow di un’organizzazione. Una quantità incredibile di informazioni nella supply chain scorre attraverso queste applicazioni, così come l’ingegneria e la gestione dei progetti. Quindi, ci siamo domandati: quali informazioni potrebbe ottenere un hacker se accedesse a un account Jira o Confluence?” ha dichiarato Oded Vanunu, Head of Products Vulnerabilities Research di Check Point Software.
“La nostra curiosità ci ha portato a osservare la piattaforma di Atlassian, dove abbiamo trovato delle vulnerabilità. In un mondo in cui la forza lavoro distribuita dipende sempre più dalle tecnologie remote, è imperativo garantire che queste tecnologie abbiano le migliori difese contro lo sfruttamento di dati dannosi. Speriamo che la nostra ultima ricerca aiuti le organizzazioni ad aumentare la consapevolezza sugli attacchi verso la supply chain.”
Le vulnerabilità e il takeover degli account
Le falle di sicurezza avrebbero permesso ad un aggressore di eseguire una serie di possibili attività dannose:
- Attacchi Cross-site request forgery (CSRF): l’hacker induce gli utenti ad eseguire azioni che non intendono eseguire.
- Attacchi Cross-Site Scripting (XSS): script dannosi che vengono iniettati in siti e app web allo scopo di essere eseguiti sul dispositivo dell’utente finale.
- Attacchi di session fixation: l’hacker ruba la sessione stabilita tra il client e il server web dopo che l’utente ha effettuato il login.
In altre parole, un aggressore potrebbe utilizzare le falle di sicurezza per prendere il controllo dell’account di una vittima, eseguire azioni per suo conto e ottenere l’accesso ai ticket di Jira. Inoltre, avrebbe potuto modificare il wiki Confluence di un’azienda, o visualizzare i ticket su GetSupport. L’attaccante avrebbe potuto continuare ad ottenere informazioni personali, e tutto questo con un solo clic.
CPR ha dimostrato che la presa di possesso dell’account Atlassian era possibile su account accessibili da sottodomini di atlassian.com. I sottodomini vulnerabili erano ben 7:
- jira.atlassian.com
- confluence.atlassian.com
- getsupport.atlassian.com
- partners.atlassian.com
- developer.atlassian.com
- support.atlassian.com
- training.atlassian.com
Metodologia di attacco
Per sfruttare le falle di sicurezza, l’ordine delle operazioni di un attaccante sarebbe stato:
- Attirare la vittima a cliccare su un link proveniente dal dominio “Atlassian”, sia dai social media, sia da una falsa e-mail o app di messaggistica, ecc.
- Cliccando sul link, il payload invia una richiesta per conto della vittima alla piattaforma Atlassian, che eseguel’attacco e si impadronisce della sessione utente.
- L’aggressore accede così alle app Atlassian della vittima associate all’account, ottenendo tutte le informazioni sensibili che vi sono memorizzate.
Divulgazione responsabile
CPR ha condiviso responsabilmente i suoi risultati di ricerca ad Atlassian l’8 gennaio 2021. Atlassian ha riferito che un fix è stato distribuito il 18 maggio 2021.
