Atlassian résout une vulnérabilité de sécurité critique
Atlassian a corrigé une grave vulnérabilité de sécurité dans son serveur de gestion des services et son centre de données Jira, qui aurait pu permettre à un attaquant de se faire passer pour un autre utilisateur et d'obtenir un accès non autorisé.
La vulnérabilité, baptisée CVE-2023-22501, a été classée comme un problème d'authentification brisée avec une faible complexité d'attaque. Selon l'entreprise, la faille permettrait à l'attaquant d'accéder à une instance de Jira Service Management s'il dispose d'un accès en écriture à un répertoire d'utilisateurs et d'un courrier électronique sortant activé.
L'attaquant peut obtenir les jetons d'inscription en étant inclus dans les problèmes ou les demandes Jira des utilisateurs, ou en accédant aux courriels contenant un lien "View Request" de ces utilisateurs. La vulnérabilité affecte les clients externes qui interagissent avec l'instance par courrier électronique, même lorsque l'authentification unique (SSO) est configurée.
Les jetons que l'attaquant peut utiliser pour obtenir un accès non autorisé au serveur de gestion des services et au centre de données Jira peuvent être obtenus dans deux scénarios. Premièrement, si l'attaquant est inclus dans les problèmes ou les demandes Jira de ces utilisateurs. Deuxièmement, si l'attaquant est transféré ou obtient un accès aux courriels contenant un lien "View Request" de ces utilisateurs.
Ces jetons sont envoyés à des utilisateurs dont les comptes n'ont jamais été connectés, et dont l'accès en écriture à un répertoire d'utilisateurs et le courrier électronique sortant sont activés sur l'instance de Jira Service Management. Il est important de noter que la vulnérabilité a été introduite dans la version 5.3.0 et affecte toutes les versions suivantes jusqu'à la 5.5.0.
Atlassian a déclaré que la vulnérabilité a été introduite dans la version 5.3.0 et a un impact sur toutes les versions suivantes. La société a mis à disposition des correctifs dans les versions 5.3.3, 5.3.3, 5.5.1, et 5.6.0 ou ultérieures. Les sites Jira hébergés sur le cloud via un domaine atlassian[.]net ne sont pas affectés par la faille et aucune action n'est requise dans ce cas.
Cependant, les utilisateurs qui sont synchronisés avec le service Jira via des répertoires d'utilisateurs en lecture seule ou une authentification unique (SSO) ne sont pas affectés. Les clients externes qui interagissent avec l'instance par e-mail sont toujours vulnérables, même si le SSO est configuré.
Il est important que les utilisateurs mettent à jour leurs installations à la dernière version pour éviter les menaces potentielles, car les failles dans les produits Atlassian sont devenues un vecteur d'attaque attrayant ces derniers mois. Il y a deux mois, la société a corrigé deux failles de sécurité critiques dans ses produits Bitbucket Server, Data Center et Crowd, qui auraient pu être exploitées pour obtenir l'exécution de code et invoquer des terminaux API privilégiés.
Les sources de cet article comprennent un article de TheHackerNews.