Błędy bezpieczeństwa w platformie Atlassian. Hakerzy mogli przejąć konto jednym kliknięciem

-Reklama-Biuro Tłumaczeń OnlineBiuro Tłumaczeń Online

Atlassian, czyli czołowa platforma dla zespołów tworzących rozwiązania IT posiadała luki bezpieczeństwa! Zagrożonych mogło być 180 tys. klientów na całym świecie – informuje Check Point Research. Zdaniem ekspertów wystarczyło jedno kliknięcie, by wykorzystać luki i uzyskać dostęp wrażliwych danych.

Platforma współpracy zespołowej Atlassian, z której korzysta 180 000 klientów na całym świecie narażała swoich użytkowników na wycieki poufnych danych. Za odkryciem błędów bezpieczeństwa stoi zespół Check Point Research, który poinformował, że za pomocą „jednego kliknięcia” atakujący mógł wykorzystać luki do przejęcia kont i kontrolowania niektórych aplikacji Atlassian, w tym Jira i Confluence.

Luki w zabezpieczeniach umożliwiłyby atakującemu wykonanie szeregu możliwych złośliwych działań, takich jak:

  • Ataki Cross-Site Scripting (XSS): złośliwe skrypty są wstrzykiwane do witryn i aplikacji internetowych w celu uruchomienia na urządzeniu użytkownika końcowego.
  • Ataki typu cross-site request forgery (CSRF): osoba atakująca nakłania użytkowników do wykonywania działań, których nie zamierzają wykonywać.
  • Ataki polegające na utrwalaniu sesji: osoba atakująca kradnie ustanowioną sesję między klientem a serwerem sieci Web po zalogowaniu się użytkownika.

Oznacza to, że atakujący mogli wykorzystać luki bezpieczeństwa do przejęcia kontroli nad kontem ofiary, wykonywania działań w jej imieniu i uzyskania dostępu do tzw. ticketów Jira. Ponadto hakerzy mogli edytować firmową wiki Confluence lub przeglądać zgłoszenia w GetSupport. Atakujący mógł zdobyć dane osobowe, a wszystko to można było wykonać zaledwie jednym kliknięciem!

Ataki na łańcuch dostaw wzbudzały duże zainteresowanie od czasu incydentu z SolarWinds. Platformy, których twórcą jest Atlassian są z kolei kluczowe dla przepływu pracy organizacji. Przez aplikacje oraz inżynierię i zarządzanie projektami przepływa niesamowita ilość informacji o łańcuchu dostaw. Dlatego zaczęliśmy zadawać nieco prowokacyjne pytanie: jakie informacje może uzyskać „złośliwy” użytkownik, jeśli uzyska dostęp do konta Jira lub Confluence? – mówi Oded Vanunu, Szef działu badań nad podatnościami produktów w Check Point Software.

Aby wykorzystać luki w zabezpieczeniach, atakujący musiał wykonać następujące kroki:

  1. Atakujący zachęca ofiarę do kliknięcia spreparowanego linku (pochodzącego z domeny „Atlassian”) z mediów społecznościowych, fałszywego e-maila lub aplikacji do przesyłania wiadomości itp.
  2. Klikając w link, payload wyśle żądanie w imieniu ofiary do platformy Atlassian, która dokona ataku i wykradnie sesję użytkownika.
  3. Atakujący loguje się do aplikacji Atlassian ofiary powiązanych z kontem, uzyskując wszystkie przechowywane tam poufne informacje.

Nasza ciekawość skłoniła nas do sprawdzenia platformy Atlassian, w której ostatecznie znaleźliśmy luki w zabezpieczeniach. Mamy nadzieję, że nasze najnowsze badania pomogą organizacjom w podnoszeniu świadomości na temat ataków w łańcuchu dostaw – dodaje Oded Vananu.

Check Point ujawnił wyniki swoich badań firmie Atlassian 8 stycznia 2021 r. Ta z kolei poinformowała, że poprawka bezpieczeństwa została ostatecznie wdrożona 18 maja 2021 r. Luka dotyczyła kilku serwisów internetowych Atlassian, które wspierają klientów i partnerów. Co ważne, nie dotyczy produktów Atlassian w chmurze ani produktów lokalnych. Eksperci udowodnili, że przejęcie było możliwe na kontach Atlassian dostępnych przez subdomeny atlassian.com.

Jira to wiodące narzędzie do tworzenia oprogramowania, z którego korzysta ponad 65 000 klientów, w tym Visa, Cisco i Pfizer. Z kolei Confluence to zdalna przestrzeń do pracy zespołowej, z której korzysta ponad 60 tys. klientów, takich jak LinkedIn, NASA i New York Times. Trzecia z aplikacji – Bitbucket to usługa hostingu repozytorium kodu źródłowego oparta na Git. Wszystkie te produkty można wykorzystać w ataku na łańcuch dostaw, którego celem są partnerzy i klienci Atlassian.

Autor/Źródło:

Disclaimer: Informacje zawarte w niniejszej publikacji służą wyłącznie do celów informacyjnych. Nie stanowią one porady finansowej lub jakiejkolwiek innej porady, mają charakter ogólny i nie są skierowane dla konkretnego adresata. Przed skorzystaniem z informacji w jakichkolwiek celach należy zasięgnąć niezależnej porady.

Polecane

Jak upały wpływają na gospodarkę i biznes

Gdy temperatura rośnie, spada nie tylko komfort pracy. Ekstremalne...

Rynek pracy w Polsce: które zawody dominują, gdzie brakuje młodych i kogo zastąpi AI

Główny Urząd Statystyczny opublikował pierwsze tak szczegółowe zestawienie zawodów...

Czy boom na AI pęknie? Prognoza na III kwartał dla giełd, złota i ropy

Koniec II kwartału przyniósł mocne odbicie akcji spółek związanych...

Koniec last minute? Kryzys paliwowy może podnieść ceny biletów lotniczych

Niekoniecznie w domu, ale jeśli wyjazd to: na krócej,...

TFI zarobiły 1,4 mld zł. Zysk branży wyższy o 38 proc.

Towarzystwa funduszy inwestycyjnych zamknęły 2025 r. najlepszym wynikiem w...
Wiadomości

UODO: właściciel kamery nie może bez podstawy nagrywać sąsiadów i przechodniów

Osoba, która nie wykonała nakazu Prezesa Urzędu Ochrony Danych...

UODO chce szybszego usuwania deepfake’ów i danych wykradzionych w cyberatakach

Prezes Urzędu Ochrony Danych Osobowych pozytywnie ocenia uwzględnienie przez...

Baker McKenzie: Nowe przepisy o cyberbezpieczeństwie wyzwaniem dla wielu firm energetycznych w Polsce

Nowa unijna dyrektywa NIS2 zwiększająca poziom cyberbezpieczeństwa w infrastrukturze...

Kancelaria podatkowa ukarana za przejęte konto e-mail. Prezes UODO nałożył ponad 11 tys. zł kary

Prezes Urzędu Ochrony Danych Osobowych Mirosław Wróblewski nałożył karę...

Od ochrony systemów do zarządzania ryzykiem. Tak ewoluuje rola CISO

Jeszcze kilka lat temu niewiele polskich przedsiębiorstw posiadało w...

Nowy atak przejmuje konta Microsoft 365 bez kradzieży hasła

Analitycy ESET ostrzegają przed nowym rodzajem phishingu, który tylko...

DeepSeek wskazał sposób na atak przez legalną funkcję przeglądarki

Nie potrzeba już exploita, złośliwego załącznika ani instalacji podejrzanej...

Magdalena Sobkowiak-Czarnecka nowym pełnomocnikiem rządu ds. odporności państwa

Magdalena Sobkowiak-Czarnecka zostanie Pełnomocnikiem Rządu do spraw Wzmocnienia Odporności...
Coś dla Ciebie