Atlassian fixed critical authentication vulnerability in Jira Software
2023/02/03 SecurityAffairs — Atlassian は、Jira Service Management Server および Data Center の深刻な脆弱性 CVE-2023-22501 (CVSS: 9.4) 対応する、セキュリティ更新プログラムを公開した。この脆弱性の悪用に成功した攻撃者には、他のユーザーになりすまし、特定の状況下において、他の Jira Service Management インスタンスに不正アクセスする可能性があるという。
Atlassian のアドバイザリには、「Jira Service Management インスタンスにおいて、ユーザー・ディレクトリへの書き込みアクセスと、送信メールが有効になっている場合において、一度もログインしていないアカウントを持つユーザーに送られた、サインアップ・トークンへのアクセスを、攻撃者が得ることになる。これらのトークンへのアクセスと取得は、次の2つのケースで発生する。
- 攻撃者が、対象となる Jira Issues に含まれている場合、または、そのユーザーにリクエストを送れる場合
- 攻撃者が、それらのユーザーから “View Request” リンクを含む電子メールを転送される場合と、その他の方法でアクセス権を取得した場合
この脆弱性は、以下のバージョンに影響する。
5.3.0/5.3.1/5.3.2/5.4.0/5.4.1/5.5.0
この問題は、読み取り専用のユーザー・ディレクトリおよび、SSO (single sign-on) を介して Jira と同期しているユーザーには影響しないが、電子メール経由でインスタンスとやり取りする外部ユーザーは、SSO が設定されている場合でも影響を受ける。
Atlassian は、以下のバージョン のリリースで、この欠陥に対処している。
5.3.3/5.3.3/5.5.1/5.6.0
同社のアドバイザリでは、atlassian.net ドメイン経由で Jira サイトにアクセスしているユーザーは、atlassian.net ドメインによりホストされているため、この脆弱性の影響を受けないと指摘している。Atlassian は、atlassian[.]net ドメイン経由で、クラウド上でホストされている Jira サイトは、この欠陥の影響を受けないため、なんの対応も必要はないと強調している。
2022年11月にも Atlassian は、ID 管理プラットフォームである Crowd Server and Data Center と、プロフェッショナル・チーム向けにソースコード・コラボレーションを提供する、セルフマネージド・ソリューションである Bitbucket Server and Data Center における、深刻な脆弱性に対処している。
この脆弱性 CVE-2022-43781 は、ソースコード・リポジトリのホスティング・サービスである Bitbucket に存在する、深刻なコマンド・インジェクションの脆弱性である。この脆弱性は、CVSS 9.0 と評価され、Bitbucket Server and Data Center のバージョン 7 および、bitbucket.properties で “mesh.enabled” を false に設定したバージョン 8 に影響を及ぼす。
文中には「Jira Service Management インスタンスにおいて、一度もログインしていないアカウントを持つユーザーに送られた、サインアップ・トークンへのアクセスを、攻撃者が得ることになる」と記されています。たしかに、CVE が割り振られている脆弱性ですが、不要なアカウントが発行されていなければ、攻撃にいたる可能性は少ないと思えます。そう考えると、これもゼロトラストで防げる問題なのかもしれません。なお、2022年における、Atlassian のインシデントは以下のとおりです。よろしければ、ご参照ください。
2022/11/19:Bitbucket Server/Data Center/Crowd の脆弱性
2022/10/25:Atlassian Jira Align の脆弱性
2022/08/26:Bitbucket Server の深刻な RCE 脆弱性
IoT OT Security News 
You must be logged in to post a comment.