A Check Point Research (CPR), área de Threat Intelligence da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), fornecedor líder global de soluções de cibersegurança, alerta para conjunto de falhas de segurança encontradas na Atlassian, plataforma utilizada por mais de 180 000 clientes em todo o mundo para desenvolvimento de software e gestão de projetos. Com apenas um clique, o atacante poderia tomar controlo sobre contas e aceder ao sistema de bugs da Atlassian obtendo, assim, informações sensíveis, tais como as fragilidades de segurança presentes em produtos base, na cloud e em várias aplicações detidas pela empresa, como o Bitbucket, o Jira e o Confluence.
O Jira é uma ferramenta líder de desenvolvimento de software com mais de 65 000 utilizadores, entre os quais se incluem empresas como a Visa, a Cisco e a Pfizer. Já o Confluence é um software de colaboração com mais de 60 000 clientes, incluindo LinkedIn, NASA e o New York Times. Por sua vez, o Bitbucket é um serviço de hospedagem de código-fonte baseado em Git útil para o desenvolvimento de software e gestão de projetos. É de notar que a vulnerabilidade afetaria vários websites de serviço de apoio e manutenção da Atlassian a clientes e parceiros. Não impactaria, contudo, produtos baseados na cloud nem on-premise.
Roubo de contas
A Check Point Research provou ser possível tomar controlo sobre contas da Atlassian através de subdomínios do endereço atlassian.com. Os subdomínios vulneráveis eram:
- jira.atlassian.com
- confluence.atlassian.com
- getsupport.atlassian.com
- partners.atlassian.com
- developer.atlassian.com
- support.atlassian.com
- training.atlassian.com
Falhas de segurança
Se exploradas com sucesso, as falhas de segurança encontradas permitiriam a execução maliciosa de um número de atividades:
- Ataques XSS (Cross-Site Scripting): scripts maliciosos são injetados em websites e aplicações web com o objetivo de serem executados no dispositivo do utilizador.
- Ataques CSRF (Cross-site request forgery): ocorre quando um atacante incita os utilizadores a realizar atividades não pretendidas pelos mesmos.
- Ataques de fixação de sessão: o atacante rouba a sessão estabelecida entre o cliente o servidor Web, assim que o utilizador inicia sessão.
Por outras palavras, um atacante poderia tirar proveito das falhas de segurança encontradas pela Check Point Research para tomar controlo da conta da vítima, agir em seu nome e obter acesso a tickets do Jira. Além disso, poderia ainda editar o wiki do Confluence de uma empresa ou ver tickets na GetSupport. Acresce ainda, claro, a possibilidade de obter informações pessoais. Tudo com apenas um clique.
Metodologia de ataque
Para explorar as falhas de segurança reveladas, a ordem de operações do atacante seria:
- O atacante incita a vítima a clicar num link por si criado (vindo de um suposto domínio da “Atlassian”), que pode chegar ao utilizador via redes sociais, um e-mail falso, uma aplicação de mensagens, etc.
- Ao clicar no link, o payload envia um pedido em nome da vítima para a plataforma Atlassian, concretizando o ataque e roubando a sessão do utilizador
- O atacante inicia sessão nas apps da Atlassian que a vítima tem associadas à conta, obtendo acesso a toda a informação aí armazenada
Oded Vanunu, Head of Products Vulnerabilities Research da Check Point Software explica as motivações da investigação: “Desde o incidente da SolarWinds que ataques em cadeia têm chamado a nossa atenção. As plataformas da Atlassian são centrais para o fluxo de trabalho de uma organização. Há uma quantidade incrível de informação que passa por estas aplicações, bem como dados de gestão e desenvolvimento de projetos. Portanto, começámos por colocar uma pergunta provocadora: ‘que informação poderia um agente malicioso obter se acedesse a uma conta Jira ou Confluence?’ A nossa curiosidade levou-nos a rever a plataforma da Atlassian, onde encontrámos falhas de segurança. Num mundo onde as forças de trabalho dependem cada vez mais de tecnologias remotas, assegurar que estas contam com as melhores defesas contra a extração de dados é imperativo. Esperamos que esta investigação ajude as organizações e as sensibilize para a ameaça dos ataques em cadeia.”
A Check Point Research fez chegar as conclusões da sua investigação à Atlassian a 8 de janeiro de 2021. De acordo com a empresa, a 18 de maio de 2021, foi lançada uma patch de resolução.
Post A Comment:
0 comments: