A Check Point Research (CPR), braço de Inteligência em Ameaças da Check Point® Software Technologies Ltd, uma fornecedora líder de soluções de cibersegurança global, identificou falhas de segurança na Atlassian, a plataforma de colaboração e produtividade de equipe utilizada por mais de 180 mil clientes em todo o mundo. Com apenas um clique, um atacante poderia ter usado as falhas para assumir contas e controlar alguns dos aplicativos da Atlassian, incluindo Bitbucket, Jira e Confluence.
O Jira é uma ferramenta líder de desenvolvimento de software usada por mais de 65 mil usuários, como Visa, Cisco e Pfizer. O Confluence é um software de colaboração remota com mais de 60 mil clientes, incluindo LinkedIn, NASA e o New York Times. Por sua vez, o Bitbucket é um serviço de hospedagem de código-fonte baseado em Git útil para o desenvolvimento de software e gestão de projetos. Todos esses produtos poderiam ser usados em um ataque à cadeia de suprimentos para atingir parceiros e clientes da Atlassian.
A Check Point Research revelou de forma responsável as conclusões da sua investigação à Atlassian em 8 de janeiro de 2021, e, de acordo com a Atlassian, foi lançado um patch em 18 de maio de 2021.
Roubo de contas
A equipe da Check Point Research provou ser possível tomar o controle sobre as contas da Atlassian por meio de subdomínios do endereço atlassian.com. Os subdomínios vulneráveis eram:
• jira.atlassian.com
• confluence.atlassian.com
• getsupport.atlassian.com
• partners.atlassian.com
• developer.atlassian.com
• support.atlassian.com
• training.atlassian.com
Falhas de segurança
Se exploradas com sucesso, as falhas de segurança encontradas permitiriam a execução maliciosa de um número de atividades:
- Ataques XSS (Cross-Site Scripting): scripts maliciosos são injetados em websites e aplicações web com o objetivo de serem executados no dispositivo do usuário;
- Ataques CSRF (Cross-site request forgery): o atacante induz os usuários a realizar ações que eles não pretendem praticar;
- Ataques de fixação de sessão: o atacante rouba a sessão estabelecida entre o cliente e o servidor Web após o login do usuário;
Em outras palavras, um atacante conseguiria tirar proveito das falhas de segurança encontradas pela equipe da CPR para assumir o controle da conta da vítima, realizar ações em seu nome e obter acesso aos tíquetes do Jira. Além disso, um atacante poderia ter editado a página wiki do Confluence de uma empresa ou visualizar tíquetes em GetSupport. O atacante seria capaz de ter obtido informações pessoais. Tudo isso poderia ser realizado com apenas um clique.
Metodologia de ataque
Para explorar as falhas de segurança reveladas, a sequência de operações do atacante seria:
- O atacante induz a vítima a clicar em um link criado (vindo de um suposto domínio da “Atlassian”), que pode chegar ao usuário via redes sociais, um e-mail falso ou um aplicativo de mensagens, entre outros;
- Ao clicar no link, o payload envia uma solicitação em nome da vítima para a plataforma Atlassian, executando o ataque e roubando a sessão do usuário;
O atacante faz login iniciando a sessão nos aplicativos da Atlassian da vítima associados à conta, obtendo acesso a todas as informações confidenciais que estão armazenadas nessa conta.
Falhas de segurança na plataforma Atlassian podiam permitir o roubo de contas com um único clique
“É desde o incidente da SolarWinds que os ataques em cadeia têm chamado a nossa atenção. As plataformas da Atlassian são centrais para o fluxo de trabalho de uma organização. Há uma quantidade incrível de informação que passa por estas aplicações, bem como dados de gestão e desenvolvimento de projetos. Portanto, começamos a perguntar ‘que informação poderia um agente malicioso obter se tivesse o acesso a uma conta Jira ou Confluence?’, explica Oded Vanunu, head de pesquisa de vulnerabilidades de produtos da Check Point Software.
Vanunu conclui informando que “a nossa curiosidade nos levou a rever a plataforma da Atlassian, onde encontramos falhas de segurança. Em um mundo onde as forças de trabalho dependem cada vez mais de tecnologias remotas, assegurar que estas contam com as melhores defesas contra a extração de dados é imperativo. Desejamos que esta investigação ajude as organizações e as sensibilize para a ameaça dos ataques em cadeia”.