上周二,推特安全网红账户 SwiftOnSecurity 不慎披露了影响企业软件厂商 Atlassian 的一个0day 漏洞,它或影响 IBM Aspera 软件。该账户披露称,Atlassian提供的一个域名解析到一个具有 Confluence 云服务常用 SSL 证书的本地服务器,以启用 Atlassian Companion app 在所选的当地应用程序中编辑文件并将文件保存回 Confluence。Confluence 使用非常难控制的域名 https://atlassian-domain-for-localhost-connections-only.com通过浏览器连接到自己的 companion app。问题在于,任何人只要具备足够的技术知识就能复制该 SSL 密钥并借此发动中间人攻击,从而导致攻击者将 app 流量重定向至恶意站点。谷歌安全工程师Tavis Ormandy 证实称使用该app 的任何人均易受此类攻击的影响。他解释称,“你可以顺走该私钥,没有什么可以阻止你将此域名解析为 localhost 以外的其它内容。因此无法保证你是和可信的本地服务还是和攻击者通信。”SwiftOnSecurity 将问题告知 Atlassian 并获得CVE编号 CVE-2019-15006。Atlassian 回应称已注意到该问题并且正在着手解决,“我们已经请求撤销该证书,而且目前正在评估是否需要其它技术解决方案来保护客户的安全。”StackApps 的版主 Tim Stone 在讨论中表示,IBM 的 Aspera 插件客户端使用了类似的服务器方案 local.connectme.us 进行客户端-服务器通信。Ormandy表示这导致问题更加糟糕,“已经存在一个预先生成的 CA 证书以及一个私钥,如果他们将其增加到系统存储中,那么就可以禁用 SSL。我认为该问题属于‘严重’级别”。Stone 表示目前尚未有证据表明 IBM 确实将该证书加入系统存储中。尽管如此,Ormandy 认为 local.connectme.us 中的证书问题是真实存在的而且认为应该撤销该证书。一名IBM发言人回应称,已经在6月份就发布安全公告,提请注意影响 Aspera Connect 3.7和3.8的拒绝服务漏洞,“在客户继续升级环境的同时,我们保留了 local.connectme.us 以便向后兼容。”另外,local.connectme.us的证书据悉已被撤销。
https://www.theregister.co.uk/2019/12/05/atlassian_zero_day_bug/
本文由奇安信代码卫士编译,不代表奇安信观点,转载请注明“转自奇安信代码卫士 www.codesafe.cn”
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。