Se corrigieron vulnerabilidades de adquisición de cuentas en los dominios de Atlassian

Investigadores de Check Point Research (CPR) encontraron vulnerabilidades encadenadas que, juntas, pueden usarse para hacerse cargo de una cuenta y controlar algunas de las aplicaciones de Atlassian conectadas a través de SSO  (inicio de sesión único). Atlassian fue informado de los hallazgos e implementó las correcciones a las vulnerabilidades que podrían permitir la apropiación de cuentas en los subdominios.

Atlassian

Con más de 130.000 clientes en todo el mundo y millones de usuarios, la empresa australiana "Atlassian", fundada en 2002, desarrolla productos para desarrolladores de software, directores de proyectos y otros equipos relacionados con el software que utilizan la plataforma para la colaboración de datos y el intercambio de información.

Atlassian ofrece herramientas, que debido a la necesidad del trabajo remoto (covid-19), se volvieron más populares y críticas para los equipos. Estas herramientas incluyen a Jira, un sistema de gestión de proyectos, y Confluence, una plataforma de colaboración de documentos para equipos remotos.

Vulnerabilidades

Check Point Research (CPR) descubrió vulnerabilidades encadenadas que, juntas, pueden usarse para hacerse cargo de una cuenta y controlar algunas de las aplicaciones de Atlassian conectadas a través de SSO. Algunos de los dominios afectados son:

• jira.atlassian.com
• confluence.atlassian.com
• getsupport.atlassian.com
• partners.atlassian.com
• developer.atlassian.com
• support.atlassian.com
• training.atlassian.com

CPR explicó que el código de explotación que utiliza las vulnerabilidades en los subdominios podría implementarse a través de una víctima que hace clic en un enlace malicioso. Luego, se enviaría una carga útil en nombre de la víctima y se robaría una sesión de usuario. 

Los problemas de dominio vulnerable incluían:

• Una política de seguridad de contenido (CSP) mal configurada.
• Parámetros vulnerables a XSS.
• Bypass de mecanismos SameSite y HTTPOnly.
• Y un punto débil que permitía la fijación de cookies: Esta opción daría a los atacantes la posibilidad de forzar a los usuarios a utilizar cookies de sesión con fines de autenticación.

Los investigadores dicen que era posible hacerse cargo de las cuentas accesibles por estos subdominios a través de cross-site scripting (XSS) y ataques de cross-site request forgery (CSRF).

Lo que hace que un ataque a la cadena de suministro como este sea tan significativo es el hecho de que una vez que el atacante aprovecha estas vulnerabilidades y se hace cargo de una cuenta, puede plantar puertas traseras que puede usar en el futuro para su ataque. Esto puede crear un daño severo que se identificará y controlará solo mucho después de que el daño esté hecho.

Check Point Research divulgó de manera responsable esta información a los equipos de Atlassian, y se implementó una solución para garantizar que sus usuarios puedan continuar compartiendo información de manera segura en las diversas plataformas.

"Según nuestra investigación, las vulnerabilidades descritas afectan a un conjunto limitado de aplicaciones web propiedad de Atlassian, así como a una plataforma de capacitación de terceros. Atlassian ha enviado parches para abordar estos problemas y ninguna de estas vulnerabilidades afectó a Atlassian Cloud (como Jira o Confluence Cloud) o productos locales (como Jira Server o Confluence Server) ". Comunico Atlassian.