Kritické zraniteľnosti produktov Atlassian

Spoločnosť Atlassian vydala opravy pre 3 kritické zraniteľnosti vo svojich produktoch Bamboo, Bitbucket, Confluence, Crowd, Fisheye, Crucible, a Jira. Útočník môže po ich úspešnom zneužití vzdialene vykonať JavaScript kód, či získať prístup do zraniteľnej platformy s právami obete.

Opis činnosti:

Spoločnosť Atlassian opravila tri kritické zraniteľnosti vo svojich produktoch Bamboo, Bitbucket, Confluence, Crowd, Fisheye, Crucible, a Jira.

CVE-2022-26136

Prvá z kritických zraniteľností umožňuje vzdialenému neautentifikovanému útočníkovi obísť modul Servlet Filter. To mu napríklad umožní obchádzať filtre, ktoré využívajú aplikácie tretích strán pre vynucovanie autentifikácie. Zneužiť zraniteľnosť je možné odoslaním špeciálne vytvorenej HTTP požiadavky. Zraniteľnosť útočníkovi tiež umožní v rámci XSS útoku obísť validáciu Atlassian Gadgets a vykonať JavaScript kód v prehliadači obete.

CVE-2022-26137

Druhá zraniteľnosť umožňuje obchádzať mechanizmus zdieľania zdrojov CORS. Vzdialený neautentifikovaný útočník tak môže odoslaním špeciálnej HTTP požiadavky privolať filter z modulu Servlet Filter určený na spracúvanie CORS požiadaviek. Môže tak získať prístup do zraniteľnej aplikácie s právami obete.

CVE-2022-26138

Tretia zraniteľnosť zasahuje iba produkt Atlassian Confluence Server a Data Center. Aplikácia Questions For Confluence vytvára používateľský účet s menom disabledsystemuser a napevno nastaveným heslom. Vzdialený útočník so znalosťou tohto hesla môže získať prístup do zraniteľnej inštancie Confluence v rovnakom rozsahu ako používatelia skupiny confluence-users. Heslo už bolo zverejnené na platforme Twitter.

Zraniteľné systémy:

Bamboo Server

                verzie staršie ako 8.0.9

                verzie od 8.1.0 staršie ako 8.1.8

                verzie od 8.2.0 staršie ako 8.2.4

Bamboo Data Center

                verzie staršie ako 8.0.9

                verzie od 8.1.0 staršie ako 8.1.8

                verzie od 8.2.0 staršie ako 8.2.4

Bitbucket Server

                verzie staršie ako 7.6.16

                verzie od 7.7.0 staršie ako 7.17.8

                verzie od 7.18.0 staršie ako 7.19.5

                verzie od 7.20.0 staršie ako 7.20.2

                verzie od 7.21.0 staršie ako 7.21.2

                8.0.0

                8.1.0

Bitbucket Data Center

                verzie staršie ako 7.6.16

                verzie od 7.7.0 staršie ako 7.17.8

                verzie od 7.18.0 staršie ako 7.19.5

                verzie od 7.20.0 staršie ako 7.20.2

                verzie od 7.21.0 staršie ako 7.21.2

                8.0.0

                8.1.0

Confluence Server

                verzie staršie ako 7.4.17

                verzie od 7.5.0 staršie ako 7.13.7

                verzie od 7.14.0 staršie ako 7.14.3

                verzie od 7.15.0 staršie ako 7.15.2

                verzie od 7.16.0 staršie ako 7.16.4

                verzie od 7.17.0 staršie ako 7.17.4

                7.18.0

                7.21.0

Confluence Data Center

                verzie staršie ako 7.4.17

                verzie od 7.5.0 staršie ako 7.13.7

                verzie od 7.14.0 staršie ako 7.14.3

                verzie od 7.15.0 staršie ako 7.15.2

                verzie od 7.16.0 staršie ako 7.16.4

                verzie od 7.17.0 staršie ako 7.17.4

                7.18.0

                7.21.0

Questions For Confluence

                2.7.34

                2.7.35

                3.0.2

Crowd Server

                verzie staršie ako 4.3.8

                verzie od 4.4.0 staršie ako 4.4.2

                5.0.0

Crowd Data Center

                verzie staršie ako 4.3.8

                verzie od 4.4.0 staršie ako 4.4.2

                5.0.0

Crucible

                verzie staršie ako 4.8.10

Fisheye

                verzie staršie ako 4.8.10

Jira Core Server

                verzie staršie ako 8.13.22

                verzie od 8.14.0 staršie ako 8.20.10

                verzie od 8.21.0 staršie ako 8.22.4

Jira Software Server

                verzie staršie ako 8.13.22

                verzie od 8.14.0 staršie ako 8.20.10

                verzie od 8.21.0 staršie ako 8.22.4

Jira Software Data Center

                verzie staršie ako 8.13.22

                verzie od 8.14.0 staršie ako 8.20.10

                verzie od 8.21.0 staršie ako 8.22.4

Jira Service Management Server

                verzie staršie ako 4.13.22

                verzie od 4.14.0 staršie ako 4.20.10

                verzie od 4.21.0 staršie ako 4.22.4

Jira Service Management Data Center

                verzie staršie ako 4.13.22

                verzie od 4.14.0 staršie ako 4.20.10

                verzie od 4.21.0 staršie ako 4.22.4

Závažnosť zraniteľnosti: Vysoká

Možné škody:

  • Vzdialené vykonávanie kódu
  • Únik informácií

Odporúčania:

Bezodkladná aktualizácia zraniteľných verzií produktov Atlassian.

Odstránenie alebo zablokovanie účtu disabledsystemuser v Confluence. POZOR: Odinštalovanie aplikácie Questions for Confluence neodstráni zraniteľnosť.

Kontrola, či nedošlo ku kompromitácii zraniteľného systému (logy, integrita súborového systému zraniteľnej aplikácie).

Odkazy:

https://www.theregister.com/2022/07/21/atlassian_critical_security_advisories/

https://therecord.media/atlassian-warns-of-several-new-critical-vulnerabilities-potentially-being-exploited-in-wild/

https://www.cve.org/CVERecord?id=CVE-2022-26136

https://www.cve.org/CVERecord?id=CVE-2022-26137

https://www.cve.org/CVERecord?id=CVE-2022-26138