[English]Sicherheitsforscher des Anbieters Check Point haben eine Schwachstelle in der bei vielen Unternehmen beliebten Plattform Atlassian entdeckt. Diese Schwachstelle hätte Angreifern den Zugriff auf das Atlassian Jira Bug System ermöglicht, wo Informationen zu Sicherheitsproblemen und andere sensitive Details zu finden sind. Im Zuge der ansteigenden Angriffe gegen Lieferketten und der Zwischenfälle rund um die SolarWinds-Attacke hat sich Check Point tiefgreifender mit Atlassian beschäftigt.
Anzeige
Atlassian ist ein Anbieter von Softwarelösungen für Softwareentwickler mit Sitz in London und operativer Hauptzentrale in Sydney. Die Atlassian-Produkte und -Dienste (beispielsweise Bamboo, Crucible, SourceTree, Bitbucket) richten sich an Softwareentwickler. Zudem sind aber auch Tools wie das Wiki Confluence und die Aufgabenmanagementsoftware Jira in ihrer Produktpalette, die auf einen Anwenderkreis über Softwareentwickler hinaus abzielen. Das Unternehmen ist unter anderem auch dafür bekannt, sich sowohl auf agile Softwareentwicklung zu konzentrieren, als auch diese selber zu praktizieren. Die Aufgabenmanagementsoftware Jira wird nach Aussage von Check Point weltweit von über 180 000 Kunden genutzt.
Die Analyse der Plattform ergab jedoch alarmierende Ergebnisse: Mit nur einem Klick hätte ein Angreifer eine Schwachstelle ausnutzen können, um Zugriff auf das Atlassian Jira Bug System zu erhalten. Diese hätte es ermöglicht, an sensible Informationen, wie Protokolle über Sicherheitsprobleme bei Atlassian Cloud, Bitbucket und On Premise-Produkten, zu gelangen.
Die Schwachstelle betrifft mehrere von Atlassian gewartete Websites, die Kunden und Partner unterstützen. Cloud-basierte oder On-Premise-Produkte von Atlassian sind davon nicht betroffen. Die Sicherheitsforscher von Check Point konnten nachweisen, dass die Übernahme von Atlassian-Konten möglich war, die über Subdomains unter atlassian.com erreichbar sind. Die verwundbaren Subdomains lauten:
- jira.atlassian.com
- confluence.atlassian.com
- getsupport.atlassian.com
- partners.atlassian.com
- entwickler.atlassian.de
- support.atlassian.com
- training.atlassian.com
Die Sicherheitslücken hätten es einem Angreifer ermöglicht, eine Reihe von bösartigen Aktivitäten auszuführen:
Anzeige
- Cross-Site-Scripting (XSS)-Angriffe: bösartige Skripte werden in Websites und Webanwendungen eingeschleust, um sie auf dem Gerät des Endanwenders auszuführen.
- Cross-Site-Request-Forgery (CSRF)-Angriffe: Der Angreifer veranlasst Benutzer dazu, Aktionen auszuführen, die sie nicht beabsichtigen.
- Session-Fixation-Angriffe: Der Angreifer übernimmt die aufgebaute Sitzung zwischen dem Client und dem Webserver, nachdem sich der Benutzer angemeldet hat.
Mit anderen Worten: Ein Angreifer könnte die von CPR gefundenen Sicherheitslücken nutzen, um die Kontrolle über das Konto eines Angestellten zu übernehmen und Aktionen in dessen Namen durchzuführen oder Zugriff auf Jira-Tickets zu erhalten. Außerdem hätte ein Angreifer das Confluence-Wiki eines Unternehmens bearbeiten oder Tickets bei GetSupport einsehen können. Der Angreifer wäre darüber hinaus in der Lage gewesen, um persönliche Informationen zu stehlen. All dies konnte mit nur einem Klick erreicht werden.
Die Angriffsmethode
Um die Sicherheitslücken auszunutzen, hätte ein Angreifer folgendermaßen vorgehen müssen:
- Der Angreifer bringt das Opfer dazu, auf einen manipulierten Link zu klicken (der von der Domain „Atlassian" stammt) – entweder über soziale Medien, eine E-Mail oder eine Messaging-App.
- Wenn das Opfer auf den Link klickt, sendet die Payload eine Anfrage im Namen des Opfers an die Atlassian-Plattform, die den Angriff ausführt und die Benutzersitzung übernimmt.
- Der Angreifer meldet sich bei den Atlassian-Apps des Opfers an, die mit dem Konto verbunden sind, und erlangt so alle sensiblen Informationen, die dort gespeichert sind.
Check Point Research hat seine Forschungsergebnisse am 8. Januar 2021 gegenüber Atlassian offengelegt. Atlassian teilte mit, dass am 18. Mai 2021 ein Fix implementiert wurde. Der komplette Bericht der Check Point-Sicherheitsforscher zu der Schwachstelle in Atlassian findet sie hier.
Anzeige
