Áàã â Jira, ðàñêðûâàþùèé ñåêðåòíûå êëþ÷è ñåðâåðîâ, âñå åùå îïàñåí
Èìåííî òàê ñ÷èòàþò çàðóáåæíûå ýêñïåðòû. Îøèáêà, íàéäåííàÿ â øèðîêî èñïîëüçóåìîì ïðîãðàììíîì îáåñïå÷åíèè Atlassian, ïîçâîëÿåò õàêåðàì ïðîíèêíóòü â êîðïîðàòèâíûå
Ñòàðûå âåðñèè ïðîãðàììíîãî îáåñïå÷åíèÿ Atlassian ñîäåðæàò óÿçâèìûé ïðîêñè-ñåðâåð, êîòîðûé ìîæíî èñïîëüçîâàòü äëÿ ïðîâåäåíèÿ àòàê ñ ìåæñàéòîâûìè ñöåíàðèÿìè (XSS, ñêðèïòèíã) è àòàê Server Side Request Forgery (SSRF ïîçâîëÿåò ñîâåðøàòü çàïðîñû ñ óÿçâèìîãî ñåðâåðà è âîçâðàùàåò êîíôèäåíöèàëüíûå äàííûå èç âíóòðåííåé ñåòè).
Çëîóìûøëåííèê ìîæåò èñïîëüçîâàòü àòàêó SSRF, êîòîðàÿ ïîçâîëÿò îòôèëüòðîâàòü ìåòàäàííûå Amazon Web Services (AWS), ñðåäè êîòîðûõ åñòü è ñåêðåòíûå êîäû äîñòóïà. Ïðèâàòíûå êëþ÷è â ðóêàõ çëîóìûøëåííèêà ìîãóò ïðèâåñòè ê çàõâàòó èíñòàíñà, ÷òî ïðèâåäåò ê êðàæå èëè óíè÷òîæåíèþ äàííûõ.
Íàöèîíàëüíûé èíñòèòóò ñòàíäàðòîâ è òåõíîëîãèé (NIST) ïðèñâîèë ýòîìó áàãó 6.1 áàëëîâ èç 10 ïî øêàëå îïàñíîñòè. Óÿçâèìîñòü áûëà çàôèêñèðîâàíà â ìàðòå 2017 ãîäà è ïîëó÷èëà èäåíòèôèêàòîð CVE-2017-9506. Âñêîðå êîìïàíèÿ Atlassian ñîîáùèëà, ÷òî óñòðàíèëà ýòó ïðîáëåìó.
Íåñìîòðÿ íà òî, ÷òî ïðîäóêòû áûëè îáíîâëåíû, ìíîãèå êîìïàíèè ïî-ïðåæíåìó èñïîëüçóþò óñòàðåâøèå âåðñèè ïðîãðàììíîãî îáåñïå÷åíèÿ, êîòîðûå ÷àñòî ðàçìåùàþòñÿ íà ñóáäîìåíå êîìïàíèè èëè ëåãêî äîñòóïíû äëÿ ïîèñêà. Ìû è ñåé÷àñ íàáëþäàåì äåñÿòêè èíñòàíñîâ ðîññèéñêèõ êîìïàíèé, ðàáîòàþùèõ íà óÿçâèìûõ âåðñèÿõ Jira è Confluence.
Ñîãëàñíî Atlassian, óÿçâèìû ñëåäóþùèå âåðñèè:
- Bamboo < 6.0.0
- Confluence < 6.1.3
- Jira < 7.3.5
- Bitbucket < 4.14.4
- Crowd < 2.11.2
- Crucible & Fisheye < 4.3.2
Åñëè âû âñå åùå èñïîëüçóåòå ïðîáëåìíûå âåðñèè ïðîäóêòîâ Atlassian, ðåêîìåíäóåì êàê ìîæíî ñêîðåå îáíîâèòü èõ. Âû ìîæåòå ñäåëàòü ýòî ñàìîñòîÿòåëüíî èëè îáðàòèòüñÿ ê ñïåöèàëèñòàì êîìïàíèè «Àïëàíà».
Èñòî÷íèêè: www.dontpanic.42.nl/2017/12/there-is-proxy-in-your-atlassian.html, www.zdnet.com/article/jira-bug-exposed-private-server-keys-at-major-companies-researcher-finds/