Ένα δημοφιλές εργαλείο συνεργασίας στο οικοσύστημα της Atlassian χρησιμοποιείται ευρέως από οργανισμούς για την παρακολούθηση έργων, τη διαχείριση εγκρίσεων και τη διαχείριση καθημερινών εργασιών.
Πρόσφατα, ερευνητές ασφαλείας στο Snapsec ανακάλυψαν ένα κρίσιμο Αποθηκευμένο Ευπάθεια Cross-Site Scripting (XSS) εντός της πλατφόρμας.
Εκμεταλλευόμενος ένα πεδίο διαμόρφωσης φαινομενικά χαμηλού κινδύνου, η ομάδα έδειξε πώς ένας χρήστης με χαμηλά προνόμια θα μπορούσε να επιτύχει πλήρη εξαγορά του οργανισμού.
Αποθηκευμένο σφάλμα XSS στο Jira Work Management
Στο Jira, οι οργανισμοί παρακολουθούν τις ροές εργασίας χρησιμοποιώντας “θέματα”, τα οποία περιέχουν πεδία δεδομένων όπως προτεραιότητα. Ενώ το Jira παρέχει προεπιλεγμένα επίπεδα προτεραιότητας, οι διαχειριστές μπορούν να προσαρμόσουν τόσο τις προτεραιότητες όσο και τις έννοιές τους ώστε να ταιριάζουν στις ανάγκες του οργανισμού.
Κατά τη διάρκεια της αξιολόγησής τους, οι ερευνητές παρατήρησαν ότι οι χρήστες με συγκεκριμένα δικαιώματα διαχείρισης μπορούσαν να δημιουργήσουν μια νέα προσαρμοσμένη προτεραιότητα και να χειριστούν την ιδιότητα “εικονίδιο URL”.
Το backend δεν είχε την κατάλληλη επικύρωση εισόδου και κωδικοποίηση εξόδου για αυτό το συγκεκριμένο πεδίο URL.
Ορίζοντας τη διεύθυνση URL του εικονιδίου σε ένα κακόβουλο ωφέλιμο φορτίο, όπως https://google.com?name=η ομάδα ενεργοποίησε με επιτυχία ένα Αποθηκευμένο XSS στο frontend.
.webp.jpeg)
Το αποθηκευμένο XSS είναι εξαιρετικά επικίνδυνο επειδή εκτελεί κακόβουλα σενάρια στο πρόγραμμα περιήγησης ενός θύματος απλώς αποδίδοντας μια επηρεασμένη σελίδα χωρίς να χρειάζεται να κάνετε κλικ σε συνδέσμους.
Η κύρια πρόκληση για τους ερευνητές ήταν να οπλίσουν αυτό το πιστοποιημένο XSS για να επηρεάσει τους διαχειριστές υψηλού επιπέδου.
Για να χαρτογραφήσει μια διαδρομή επίθεσης, η ομάδα ανέλυσε τους ρόλους διαχείρισης χρηστών του Jira για να βρει τον ρόλο με τα χαμηλότερα προνόμια που μπορεί να δημιουργήσει μια προσαρμοσμένη προτεραιότητα.
Προσδιόρισαν τον ρόλο “Διαχειριστής προϊόντος”. Ένας Διαχειριστής προϊόντος ενδέχεται να μην έχει άμεση πρόσβαση σε εσωτερικές εφαρμογές Jira, όπως το Confluence ή η Διαχείριση υπηρεσιών.
Διατηρούν όμως την ικανότητα να εκτελούν βασικές εργασίες διαχείρισης, συμπεριλαμβανομένης της επεξεργασίας προτεραιοτήτων ζητημάτων.
.webp.jpeg)
Εκτέλεση της Εξαγοράς Οργανισμού
Για την εκτέλεση της επίθεσης, ένας παραβιασμένος ή κακόβουλος διαχειριστής προϊόντος πλοηγείται στις ρυθμίσεις ζητήματος Jira και προσθέτει μια νέα προσαρμοσμένη προτεραιότητα.
Εισάγουν ένα στοχευμένο ωφέλιμο φορτίο στη διεύθυνση URL του εικονιδίου, όπως https://google.com?name=.
Όταν ένας χρήστης με υψηλότερα προνόμια, όπως ένας Super Admin, επισκέπτεται τη σελίδα τροποποιημένων προτεραιοτήτων, το αποθηκευμένο ωφέλιμο φορτίο εκτελείται σιωπηλά στο πρόγραμμα περιήγησής του.
Το κακόβουλο JavaScript αναγκάζει τη συνεδρία του Super Admin να στείλει ένα αυτοματοποιημένο αίτημα πρόσκλησης.
Αυτό το αίτημα προσκαλεί έναν λογαριασμό χρήστη που ελέγχεται από τον εισβολέα στον οργανισμό και του παρέχει πλήρη πρόσβαση σε πολλά προϊόντα Atlassian.
.webp.jpeg)
Κατά συνέπεια, ο εισβολέας αποκτά τη δυνατότητα να προβάλλει, να δημιουργεί, να τροποποιεί ή να διαγράφει έργα σε ολόκληρο το περιβάλλον, με αποτέλεσμα έναν πλήρη οργανωτικό συμβιβασμό.
Αυτή η ευπάθεια υπογραμμίζει ένα κρίσιμο μάθημα για τη σύγχρονη ασφάλεια Software-as-a-Service (SaaS): οι εισροές διαχείρισης δεν πρέπει ποτέ να είναι αξιόπιστες από προεπιλογή.
Ακόμη και οι ώριμες πλατφόρμες μπορούν να φιλοξενούν ευπάθειες υψηλού αντίκτυπου όταν η επικύρωση εισόδου αγνοείται σε εσωτερικούς πίνακες διαμόρφωσης.
Επιπλέον, ο έλεγχος πρόσβασης δεν ισοδυναμεί αυτόματα με τον έλεγχο κινδύνου. Ένας χρήστης με περιορισμένη ορατότητα προϊόντος κατάφερε ακόμα να εισάγει ένα μόνιμο ωφέλιμο φορτίο σε μια παγκόσμια προσβάσιμη περιοχή διαμόρφωσης.
Οι οργανισμοί πρέπει να επιβάλλουν αυστηρή επικύρωση σε προσαρμόσιμα πεδία, όπως επισημαίνεται από το Snapsec, διασφαλίζοντας ασφάλεια σε όλες τις ροές εργασίας διαχειριστή.
