Atlassian 域名被曝一次点击账户接管漏洞 可导致供应链攻击
编译:奇安信代码卫士
数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。
随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。
为此,我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯,分析供应链安全风险,提供缓解建议,为供应链安全保驾护航。
注:以往发布的部分供应链安全相关内容,请见文末“推荐阅读”部分。
本周四,Check Point Research (CPR) 表示,这些 bug 存在于Atlassian的在线域名中,而这些域名应用于全球数千名企业客户。Atlassian 公司提供的工具包括Jira 和 Confluence。漏洞存在于大量由 Atlassian 维护的网站中,而非本地或云 Atlassian 产品中。
Atlassian.com 下的子域名包括合作伙伴、开发者、支持、Jira、Confluence 和 training.atlassian.com 均易受账户接管漏洞影响。
CPR 解释称,利用子域名中漏洞的利用代码可通过诱骗受害者点击恶意链接的方式部署。之后 payload 被以受害者的身份发送,用户会话被盗。
研究人员表示,通过跨站点脚本和跨站请求伪造攻击很可能接管由这些子域名访问的账户。另外,一旦用户登陆账户,易受攻击的域名还使威胁行动者攻陷客户端和 web 服务器之间的会话。研究人员指出,“只需一次点击,攻击者就能利用这些缺陷接管账户并控制其中一些 Atlassian 的应用程序,包括 Jira 和 Confluence 在内。”这些攻击包括账户劫持、数据盗取、以用户身份执行的操作以及获取对 Jira 工单的访问权限。在公开漏洞前,研究员已在1月8日将问题告知 Atlassian,后者在5月18日部署了修复方案。
Atlassian 公司表示,“据调查,这些漏洞仅影响由 Atlassian 所有的 web 应用程序以及一个第三方培训平台。Atlassian 已发布补丁解决这些漏洞且 Atlassian Cloud(如 Jira 或 Confluence Cloud)或非本地产品(如 Jira Server 或 Confluence Server)均未受影响。”
鉴于最近发生的供应链攻击问题,CPR 开展了对 Atlassian 产品的研究。在供应链攻击中,威胁行动者将攻击其它企业使用的集中式资源。如该元素遭攻陷,如在 Codecov 事件中篡改将被推送到客户端的更新代码,则不费太多力气即可攻击将大量潜在受害者。SolarWinds 事件也很好地证实了供应链攻击带来的巨大破坏。约1.8万名 SolarWinds 客户收到恶意 SolarWinds Orion 软件更新,将后门植入其系统中;然而,攻击者精心挑选了少数受害者实施进一步攻陷,如微软、火眼以及很多联邦机构。
详解ThroughTek P2P 供应链漏洞对数百万物联网设备的安全新风险
给开发者的9个安全建议:既能保护供应链安全,也不会拖慢开发进程
在线阅读版:《2021中国软件供应链安全分析报告》全文
https://www.zdnet.com/article/one-click-account-takeover-vulnerability-in-atlassian-patched/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。