Kritické zraniteľnosti produktov Atlassian
Spoločnosť Atlassian vydala opravy pre 3 kritické zraniteľnosti vo svojich produktoch Bamboo, Bitbucket, Confluence, Crowd, Fisheye, Crucible, a Jira. Útočník môže po ich úspešnom zneužití vzdialene vykonať JavaScript kód, či získať prístup do zraniteľnej platformy s právami obete.
Opis činnosti:
Spoločnosť Atlassian opravila tri kritické zraniteľnosti vo svojich produktoch Bamboo, Bitbucket, Confluence, Crowd, Fisheye, Crucible, a Jira.
CVE-2022-26136
Prvá z kritických zraniteľností umožňuje vzdialenému neautentifikovanému útočníkovi obísť modul Servlet Filter. To mu napríklad umožní obchádzať filtre, ktoré využívajú aplikácie tretích strán pre vynucovanie autentifikácie. Zneužiť zraniteľnosť je možné odoslaním špeciálne vytvorenej HTTP požiadavky. Zraniteľnosť útočníkovi tiež umožní v rámci XSS útoku obísť validáciu Atlassian Gadgets a vykonať JavaScript kód v prehliadači obete.
CVE-2022-26137
Druhá zraniteľnosť umožňuje obchádzať mechanizmus zdieľania zdrojov CORS. Vzdialený neautentifikovaný útočník tak môže odoslaním špeciálnej HTTP požiadavky privolať filter z modulu Servlet Filter určený na spracúvanie CORS požiadaviek. Môže tak získať prístup do zraniteľnej aplikácie s právami obete.
CVE-2022-26138
Tretia zraniteľnosť zasahuje iba produkt Atlassian Confluence Server a Data Center. Aplikácia Questions For Confluence vytvára používateľský účet s menom disabledsystemuser a napevno nastaveným heslom. Vzdialený útočník so znalosťou tohto hesla môže získať prístup do zraniteľnej inštancie Confluence v rovnakom rozsahu ako používatelia skupiny confluence-users. Heslo už bolo zverejnené na platforme Twitter.
Zraniteľné systémy:
Bamboo Server
verzie staršie ako 8.0.9
verzie od 8.1.0 staršie ako 8.1.8
verzie od 8.2.0 staršie ako 8.2.4
Bamboo Data Center
verzie staršie ako 8.0.9
verzie od 8.1.0 staršie ako 8.1.8
verzie od 8.2.0 staršie ako 8.2.4
Bitbucket Server
verzie staršie ako 7.6.16
verzie od 7.7.0 staršie ako 7.17.8
verzie od 7.18.0 staršie ako 7.19.5
verzie od 7.20.0 staršie ako 7.20.2
verzie od 7.21.0 staršie ako 7.21.2
8.0.0
8.1.0
Bitbucket Data Center
verzie staršie ako 7.6.16
verzie od 7.7.0 staršie ako 7.17.8
verzie od 7.18.0 staršie ako 7.19.5
verzie od 7.20.0 staršie ako 7.20.2
verzie od 7.21.0 staršie ako 7.21.2
8.0.0
8.1.0
Confluence Server
verzie staršie ako 7.4.17
verzie od 7.5.0 staršie ako 7.13.7
verzie od 7.14.0 staršie ako 7.14.3
verzie od 7.15.0 staršie ako 7.15.2
verzie od 7.16.0 staršie ako 7.16.4
verzie od 7.17.0 staršie ako 7.17.4
7.18.0
7.21.0
Confluence Data Center
verzie staršie ako 7.4.17
verzie od 7.5.0 staršie ako 7.13.7
verzie od 7.14.0 staršie ako 7.14.3
verzie od 7.15.0 staršie ako 7.15.2
verzie od 7.16.0 staršie ako 7.16.4
verzie od 7.17.0 staršie ako 7.17.4
7.18.0
7.21.0
Questions For Confluence
2.7.34
2.7.35
3.0.2
Crowd Server
verzie staršie ako 4.3.8
verzie od 4.4.0 staršie ako 4.4.2
5.0.0
Crowd Data Center
verzie staršie ako 4.3.8
verzie od 4.4.0 staršie ako 4.4.2
5.0.0
Crucible
verzie staršie ako 4.8.10
Fisheye
verzie staršie ako 4.8.10
Jira Core Server
verzie staršie ako 8.13.22
verzie od 8.14.0 staršie ako 8.20.10
verzie od 8.21.0 staršie ako 8.22.4
Jira Software Server
verzie staršie ako 8.13.22
verzie od 8.14.0 staršie ako 8.20.10
verzie od 8.21.0 staršie ako 8.22.4
Jira Software Data Center
verzie staršie ako 8.13.22
verzie od 8.14.0 staršie ako 8.20.10
verzie od 8.21.0 staršie ako 8.22.4
Jira Service Management Server
verzie staršie ako 4.13.22
verzie od 4.14.0 staršie ako 4.20.10
verzie od 4.21.0 staršie ako 4.22.4
Jira Service Management Data Center
verzie staršie ako 4.13.22
verzie od 4.14.0 staršie ako 4.20.10
verzie od 4.21.0 staršie ako 4.22.4
Závažnosť zraniteľnosti: Vysoká
Možné škody:
- Vzdialené vykonávanie kódu
- Únik informácií
Odporúčania:
Bezodkladná aktualizácia zraniteľných verzií produktov Atlassian.
Odstránenie alebo zablokovanie účtu disabledsystemuser v Confluence. POZOR: Odinštalovanie aplikácie Questions for Confluence neodstráni zraniteľnosť.
Kontrola, či nedošlo ku kompromitácii zraniteľného systému (logy, integrita súborového systému zraniteľnej aplikácie).
Odkazy:
https://www.theregister.com/2022/07/21/atlassian_critical_security_advisories/
https://www.cve.org/CVERecord?id=CVE-2022-26136