Ïîèñê
Êëèåíòû

Áàã â Jira, ðàñêðûâàþùèé ñåêðåòíûå êëþ÷è ñåðâåðîâ, âñå åùå îïàñåí

Èìåííî òàê ñ÷èòàþò çàðóáåæíûå ýêñïåðòû. Îøèáêà, íàéäåííàÿ â øèðîêî èñïîëüçóåìîì ïðîãðàììíîì îáåñïå÷åíèè Atlassian, ïîçâîëÿåò õàêåðàì ïðîíèêíóòü â êîðïîðàòèâíûå 

Ñòàðûå âåðñèè ïðîãðàììíîãî îáåñïå÷åíèÿ Atlassian ñîäåðæàò óÿçâèìûé ïðîêñè-ñåðâåð, êîòîðûé ìîæíî èñïîëüçîâàòü äëÿ ïðîâåäåíèÿ àòàê ñ ìåæñàéòîâûìè ñöåíàðèÿìè (XSS, ñêðèïòèíã) è àòàê Server Side Request Forgery (SSRF ïîçâîëÿåò ñîâåðøàòü çàïðîñû ñ óÿçâèìîãî ñåðâåðà è âîçâðàùàåò êîíôèäåíöèàëüíûå äàííûå èç âíóòðåííåé ñåòè).

Çëîóìûøëåííèê ìîæåò èñïîëüçîâàòü àòàêó SSRF, êîòîðàÿ ïîçâîëÿò îòôèëüòðîâàòü ìåòàäàííûå Amazon Web Services (AWS), ñðåäè êîòîðûõ åñòü è ñåêðåòíûå êîäû äîñòóïà. Ïðèâàòíûå êëþ÷è â ðóêàõ çëîóìûøëåííèêà ìîãóò ïðèâåñòè ê çàõâàòó èíñòàíñà, ÷òî ïðèâåäåò ê êðàæå èëè óíè÷òîæåíèþ äàííûõ.

Íàöèîíàëüíûé èíñòèòóò ñòàíäàðòîâ è òåõíîëîãèé (NIST) ïðèñâîèë ýòîìó áàãó 6.1 áàëëîâ èç 10 ïî øêàëå îïàñíîñòè. Óÿçâèìîñòü áûëà çàôèêñèðîâàíà â ìàðòå 2017 ãîäà è ïîëó÷èëà èäåíòèôèêàòîð CVE-2017-9506. Âñêîðå êîìïàíèÿ Atlassian ñîîáùèëà, ÷òî óñòðàíèëà ýòó ïðîáëåìó.

Íåñìîòðÿ íà òî, ÷òî ïðîäóêòû áûëè îáíîâëåíû, ìíîãèå êîìïàíèè ïî-ïðåæíåìó èñïîëüçóþò óñòàðåâøèå âåðñèè ïðîãðàììíîãî îáåñïå÷åíèÿ, êîòîðûå ÷àñòî ðàçìåùàþòñÿ íà ñóáäîìåíå êîìïàíèè èëè ëåãêî äîñòóïíû äëÿ ïîèñêà. Ìû è ñåé÷àñ íàáëþäàåì äåñÿòêè èíñòàíñîâ ðîññèéñêèõ êîìïàíèé, ðàáîòàþùèõ íà óÿçâèìûõ âåðñèÿõ Jira è Confluence.

Ñîãëàñíî Atlassian, óÿçâèìû ñëåäóþùèå âåðñèè:

  • Bamboo < 6.0.0
  • Confluence < 6.1.3
  • Jira < 7.3.5
  • Bitbucket < 4.14.4
  • Crowd < 2.11.2
  • Crucible & Fisheye < 4.3.2

Åñëè âû âñå åùå èñïîëüçóåòå ïðîáëåìíûå âåðñèè ïðîäóêòîâ Atlassian, ðåêîìåíäóåì êàê ìîæíî ñêîðåå îáíîâèòü èõ. Âû ìîæåòå ñäåëàòü ýòî ñàìîñòîÿòåëüíî èëè îáðàòèòüñÿ ê ñïåöèàëèñòàì êîìïàíèè «Àïëàíà».

Èñòî÷íèêè: www.dontpanic.42.nl/2017/12/there-is-proxy-in-your-atlassian.htmlwww.zdnet.com/article/jira-bug-exposed-private-server-keys-at-major-companies-researcher-finds/