Atlassian Jira Align の脆弱性：クラウド・インフラの一部を制御される可能性

Atlassian Vulnerabilities Highlight Criticality of Cloud Services

2022/10/25 DarkReading — アジャイル・プランニングの SaaS (Software-as-a-Service) ツール Atlassian Jira Align に存在する２つの脆弱性 (CVE-2022-36802／CVE-2022-36803) により、サービスにアクセスできる脅威アクターがアプリケーション管理者になり、Atlassian サービスを攻撃する可能性があることが判明した。サイバーセキュリティ・サービス企業である Bishop Fox は、「この脆弱性は、クラウド・サービスで生じるリスクの典型であり、比較的よく知られているが、発見するのが難しいことが多い」と、今日のアドバイザリで述べている。

Bishop Fox が発見したこの２つの脆弱性は、アジャイル開発の目標を設定し、その目標に向けた取り組みを追跡し、アジャイル戦略を作成する Jira Align アプリケーションに影響を与えるものだ。 同社は、Jira Align のインスタンスは、すべて Atlassian によりプロビジョニングされているため、攻撃者は同社のクラウド・インフラの一部を制御することが可能だと述べている。

１つ目の SSRF の脆弱性 CVE-2022-36802 の悪用に成功した攻撃者は、Jira Align インスタンスをプロビジョニングした Atlassian サービスアカウントの、AWS 認証情報を取得できる可能性がある。

２つ目の脆弱性 CVE-2022-36803 は、People ロールを持つユーザーの承認メカニズムに存在し、悪用に成功した攻撃者による、アカウントのリセット／設定の変更などの、Jira Align テナントの全設定にアクセスできる、Super Admin へとロールを昇格させる可能性がある。

この脆弱性を発見した、Bishop Fox のセキュリティ・コンサルタントである Jake Shafer は、「この２つの脆弱性を組み合わせた攻撃により、深刻な被害にいたる可能性がある」と述べている。

彼は、「この認証情報を使用すると、低特権の攻撃者が Super Admin に昇格し、 SaaS のクライアントが Jira に導入している、全ての要素にアクセス可能となる。そこから、攻撃者は SSRF を利用して、Atlassian のインフラへの攻撃が可能になる」と説明している。

Bishop Fox が公表した開示スケジュールによると、１つ目の脆弱性は１週間以内に、２つ目の脆弱性は１か月以内に、すでにパッチが適用されている。

しかし、クラウド・アプリケーションへの依存度が高まるにつれ、クラウドのサービスやワークロードへの攻撃が多発していることに注意すべきだ。Open Web Application Security Project (OWASP) によれば、脆弱性のトップクラスは、認証バイパスとアクセス制御の問題だという。

さらに、認証の問題は、自動化されたツールでは特定が困難だ。加えて、SSRF は比較的新しい種類の脆弱性であり、クラウド・サービス機能やサーバを使用して攻撃を行い、多くの場合において、ネットワーク・エッジのセキュリティ対策や一部の内部セキュリティ対策を迂回できる。

Atlassian Jira には、他の SSRF の脆弱性にも対処する必要があった。しかし、それだけに留まらず、2019年には Amazon Web Services から SSRF の脆弱性が悪用され、金融会社 Capital One のデータが盗み出されている。

クラウド・セキュリティの脆弱性にどう対抗するか

大半の企業において、クラウド・サービスが業務の一部になったことで、クラウド上の深刻な脆弱性に取り組むことが、きわめて重要だと Shafer は指摘している。同社は、「企業における各種の日常業務に、SaaS アプリケーションが組み込まれるようになったことで、老舗の企業であってもミスを犯す可能性があることを忘れてはならない。特に、技術的に確立されたものについては、信頼はしていても、検証すべきだ」と述べている。

彼は、「これらの最新の脆弱性は、プログラムがリクエストを完了する前に、ユーザーから入力されたコンテンツのダブルチェックが必要なことを、強く訴えている。入力の識別チェックを追加すれば、どちらの攻撃も防ぐことができる。クラウド・インフラに顧客を受け入れ、サービスへの対価を受け取っていても、潜在的な攻撃者に対するように、信頼してはいないと考えるべきだ」と指摘している。

また、「企業は、サードパーティー・アプリに対する手動でテストを行うか、クラウド・プロバイダーにるセキュリティ評価を確認する必要がある。残念ながら、自動化されたツールは、認証に関する問題を発見するのに適していない。これらのツールは、何を探すかという、一連の指示やガイドラインに依存しているが、認可の問題への対処は、世の中のソフトウェアごとに異なるものである。スキャナーで、[ユーザー X は、このコンテキストで Y を実行できないはずだ] と判断できるような、一連のルールを確立することは非常に困難だ」と加えている。

Shafer は、「正しいことをすべて行った」と Atlassian の対応を称賛している。また、この記事は公開されたが、Atlassian はコメントを発表していない。

Atlassian Jira に関する脆弱性としては、2021年7月22日の「Atlassian Jira の深刻な脆弱性にパッチが提供される」と、2022年4月21日の「Atlassian Jira における認証バイパスの脆弱性 CVE-2022-0540 が FIX」がありました。そして、考えるべきは、SaaS の利便性と安全性のギャップです。文中でも、OWASP Top-10 に触れらていますが、Top-10 [+] についても検討すべきという意見も出てきました。よろしければ、SaaS で検索を、ご利用ください。