Two Jira Plugin Vulnerabilities in Attacker Crosshairs
2023/07/19 SecurityWeek — Atlassian Jira のプラグインである、”Stagil navigation for Jira – Menus & Themes” における2つのパストラバーサル脆弱性を悪用する攻撃者がいるらしいと、SANS Internet Storm Center が警告している。このプラグインは、Atlassian のマーケット・プレイスを通じて配布され、Jira インスタンスをナビゲータ/サブメニューなどを要素で、カスタマイズすることを可能にするものだ。2023年2月に公開された、脆弱性 CVE-2023-26255/CVE-2023-26256 の深刻度は High であり、プラグインのバージョン 2.0.52 で対処されている。
この脆弱性の悪用に成功した攻撃者は、snjCustomDesignConfig および snjFooterNavigationConfig エンドポイントの fileName パラメータを変更し、ファイル・システムをトラバースして読み取ることが可能となる。
一般的に、ディレクト・リトラバーサル問題は、対象となるアプリケーションを実行しているサーバ上の任意のファイルを、攻撃者が読み取ることを可能にしてしまう。その結果として、認証情報/アプリ・データなどの機密情報への、不正アクセスを許す可能性が生じる。
SANS の Dean of Research である Johannes Ullrich によると、脆弱性 CVE-2023-26255 を標的とする悪用の試みは、3月下旬に初めて観測されている。そして3ヶ月の沈黙の後の今週に、攻撃者は再びエクスプロイトを取り上げ、両方の脆弱性を標的にしているという。
Johannes Ullrich は、「 攻撃者は “etc/passwd” ファイルのダウンロードを試みる。”etc/passwd/” は、それほど興味深いものではないが、脆弱性を検証するために使われることが多い。その後に攻撃者は、他の重要なファイルを取得するかもしれない」と説明している。
Jira がデータベース・パスワードを保存するために使用している、”dbconfig.xmlpasswd” ファイルをダウンロードしようとする攻撃も、このセキュリティ研究者は観測している。この攻撃は、2つの異なる IP アドレスから発生しており、パスワードを含むファイルを取得するための、類似した要求が含まれていたようだ。
Johannes Ullrich は、「どちらかの脆弱性に対する、2つのスキャンが関連しているかどうかは不明である。このような脆弱性について、短期間に2つの大きなスキャンが行われたことは疑わしい。それぞれのスキャンは異なるユーザー・エージェントを使用しているが、だかと言って、それぞれのスキャンが異なるグループ/個人により開始されたとは限らない。どちらの IP アドレスも、既知の脅威グループとは関連していない」と指摘している。
それぞれの脆弱性に関する技術情報と PoC エクスプロイトは、2月から公開されている。Stagil navigation for Jira プラグインを使用している Jira ユーザーに対しては、可能な限り早急に、パッチが適用されたバージョンへのアップデートが推奨される。
Atlassian の脆弱性が、サイバー攻撃の標的とされるケースは多いので、このStagil プラグインを使用している場合には注意が必要ですね。よろしければ、Atlassian Jira で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.