Atlassian产品的安全漏洞影响多家公司

Jira, Confluence, Trello和BitBucket受到影响。

班加罗尔,2022年12月13日——CloudSEK的研究人员发现,对于Atlassian的产品——Jira, Confluence和BitBucket,即使用户修改了密码并启用了双因素认证(2FA),cookie也不会失效,因为cookie的有效期是30天。它们只有在用户登出或30天后才会过期。

CloudSEK的研究人员发现,这个漏洞可以被威胁者利用,来接管数百家公司的Jira账户。我们的记录显示,在暗网市场上有超过1,282,859台被入侵的电脑和16,201个Jira cookie出售。而仅在过去的30天里,就有超过2,937台被入侵的电脑和246个Jira凭证被公开。在过去的90天里,我们至少观察到一台来自财富1000强公司的被入侵的电脑。这只是考虑了它们的主要域名,而不是它们的子公司。(查看完整博客)

这一新发现是在2022年12月6日之后出现的,当时CloudSEK披露了一次针对该公司的网络攻击。在调查事件发生原因的过程中,内部调查团队发现,威胁者利用暗网上出售的窃取日志中存在的Jira会话cookie,访问了一名CloudSEK员工的Jira账户。

CloudSEK正在发布一个免费工具,让公司可以检查他们是否有被入侵的电脑和Jira账户在暗网市场上被广告。

Atlassian的产品拥有超过一千八百万用户,遍布全球18万家公司,其中包括83%的财富500强公司。Atlassian的产品在全球广泛使用。而威胁者正在积极利用这个漏洞来入侵企业的Jira账户。

被盗的Atlassian cookie即使启用了双因素认证也可能导致账户被未经授权的访问

CloudSEK的调查显示,Atlassian产品的cookie即使用户修改了密码并启用了双因素认证,也会在30天内保持有效。因此,威胁者可以利用被盗的cookie恢复Jira, Confluence, Trello或BitBucket的会话,即使他们没有访问多因素认证(MFA)、OTP/PIN的权限。这些cookie默认在用户登出或30天后过期。(查看完整博客)

这是一个已知的问题,大多数公司不认为它属于安全报告的范围,因为要利用这个并进入系统,需要有令牌。

然而,对于威胁者来说,获取这些令牌已经不再很困难。随着设备入侵活动、数据泄露和密码泄露的增加,cookie窃取已经变得司空见惯。而且cookie可以出售,人们可以简单地搜索一家公司,购买他们的日志,找到相关的令牌来访问他们的内部系统。在过去的30天里,有超过200个与atlassian.net相关的凭证/cookie被放在暗网市场上出售。考虑到这些凭证是在过去30天内被出售的,很有可能其中许多仍然是有效的。

在Atlassian产品的情况下,只需要一个JSON web token (JWT)就可以劫持一个会话,即cloud.session.token。Atlassian JWT (JSON Web Token)令牌中包含了电子邮件地址。因此,很容易确定cookie属于哪个用户。

你可以在这里检查你的组织的数据是否在暗网市场上出售。

推荐阅读:

纽约地铁因触碰式支付的隐私问题关闭行程历史功能

严重的安全漏洞使思科BroadWorks面临完全被接管的风险

  • 点赞
  • 打赏
请选择打赏方式
  • ERC-20
  • TRC-20