La falla crítica de Jira en Atlassian podría llevar a RCE - Calendae | Informática, Electrónica, CMS, Ciberseguridad

La falla crítica de Jira en Atlassian podría llevar a RCE

Hola, un placer verte por aquí. Yo soy Eduardo Arroyo y hoy te voy a hablar sobre La falla crítica de Jira en Atlassian podría llevar a RCE

La falla crítica de Jira en Atlassian podría llevar a RCE

La plataforma de ingeniería de software insta a los usuarios a corregir la falla crítica lo antes posible.

Atlassian ha lanzado un parche para una vulnerabilidad crítica en muchas versiones de sus productos Jira Data Center y Jira Service Management Data Center, que puede llevar a la ejecución de código arbitrario.

Atlassian es una plataforma utilizada por 180.000 clientes para diseñar software y gestionar proyectos, y Jira es su herramienta patentada para el seguimiento de errores y la gestión ágil de proyectos.

Atlassian emitió una acción el miércoles consultivo relacionada con la vulnerabilidad, que se rastrea como CVE-2020-36239. El error podría permitir que atacantes remotos no autenticados ejecuten código arbitrario en algunos productos de Jira Data Center.

BleepComputadora recibió un correo electrónico que Atlassian envió a los clientes corporativos el miércoles instándolos a actualizar lo antes posible.

La vulnerabilidad tiene que ver con una verificación de autenticación faltante en la implementación de Jira de Ehcache, que es un caché distribuido de Java de código abierto para almacenamiento en caché genérico, Java EE y contenedores livianos que se utiliza para el rendimiento y que simplifica la escalabilidad.

Atlassian dijo que el error se introdujo en la versión 6.3.0 de Jira Data Center, Jira Core Data Center, Jira Software Data Center y Jira Service Management Data Center (conocido como Jira Service Desk antes de 4.14).

Según el aviso de seguridad de Atlassian, esa lista de productos expuso un servicio de red de invocación de método remoto (RMI) de Ehcache que los atacantes, que pueden conectarse al servicio en el puerto 40001 y potencialmente 40011, podrían usar para «ejecutar código arbitrario. De su elección en Jira. «mediante deserialización, debido a la falta de autenticación.

RMI es una API que actúa como un mecanismo para permitir la comunicación remota entre programas escritos en Java. Permite que un objeto que reside en una máquina virtual Java (JVM) invoque un objeto que se ejecuta en otra JVM; A menudo implica un programa en un servidor y otro en un cliente. La ventaja de RMI, como lo describe BleepingComputer, es que «los programadores pueden invocar métodos presentes en objetos remotos, como los presentes dentro de una aplicación que se ejecuta en una red compartida, directamente desde su aplicación como ejecutarían un método o un procedimiento local». .

Trabajos de resonancia magnética. Fuente: Wikipedia.

Atlassian «sugiere enérgicamente» restringir el acceso a los puertos Ehcache solo a instancias del centro de datos, pero señaló que hay una advertencia: «Las versiones fijas de Jira ahora requerirán un secreto compartido para permitir el acceso al servicio Ehcache», según el aviso.

Versiones afectadas

Estas son las versiones afectadas de Jira Data Center y Jira Service Management Data Center:

Jira Data Center, Jira Core Data Center y Jira Software Data Center: intervalos

  • 6.3.0
  • 8.6.0
  • 8.14.0

Centro de datos de gestión de servicios de Jira: rangos

  • 2.0.2
  • 4.6.0
  • 4.14.0

Jira Data Center, Jira Core Data Center y Jira Software Data Center

  • Todas las versiones 6.3.x, 6.4.x
  • Todos 7.0.x, 7.1.x, 7.2.x, 7.3.x, 7.4.x, 7.5.x, 7.6.x, 7.7.x, 7.8.x, 7.9.x, 7.10.x, 7.11.x, 7.12 Versiones .x, 7.13.x
  • Todas las versiones 8.0.x, 8.1.x, 8.2.x, 8.3.x, 8.4.x
  • Todas las versiones 8.5.x anteriores a 8.5.16
  • Todas las versiones 8.6.x, 8.7.x, 8.8.x, 8.9.x, 8.10.x, 8.11.x, 8.12.x
  • Todas las versiones 8.13.x anteriores a 8.13.8
  • Todas las versiones 8.14.x, 8.15.x, 8.16.x

Centro de datos de gestión de servicios de Jira

  • Todas las versiones 2.xx posteriores a la 2.0.2
  • Todas las versiones 3.xx
  • Todas las versiones 4.0.x, 4.1.x, 4.2.x, 4.3.x, 4.4.x
  • Todas las versiones 4.5.x anteriores a 4.5.16
  • Todas las versiones 4.6.x, 4.7.x, 4.8.x, 4.9.x, 4.10.x, 4.11.x, 4.12.x
  • Todas las versiones 4.13.x anteriores a 4.13.8
  • Todas las versiones 4.14.x, 4.15.x, 4.16.x

El aviso de Atlassian indicó que los clientes que hayan descargado e instalado cualquier versión afectada «deben actualizar inmediatamente sus instalaciones para corregir esta vulnerabilidad». Dicho esto, Atlassian también señaló que la calificación «crítica» es su propia evaluación y que los clientes «deben evaluar su aplicabilidad a su entorno de TI».

Versiones no afectadas

Aquí está la lista de productos que no se ven afectados por el defecto:

  • Nube de Atlassian
  • Nube de Jira
  • Nube de gestión de servicios de Jira
  • Instancias ajenas al centro de datos de Jira Server (núcleo y software) y Jira Service Management

Además, los clientes que hayan actualizado Jira Data Center, Jira Core Data Center, Jira Software Data Center a las versiones 8.5.16, 8.13.8, 8.17.0 y / o Jira Service Management Data Center a las versiones 4.5.16, 4.13.8 o 4.17.0 están descolgados: no necesitan actualización.

Atlassian es el delantero Catnip

Algunas de las empresas más grandes con un desarrollo de productos más sofisticado utilizan productos de Atlassian. Entre sus más de 65.000 usuarios, Jira tiene grandes admiradores, como Apache Software Foundation, Cisco, Fedora Commons, Hibernate, Pfizer y Visa.

Desafortunadamente, su popularidad, particularmente entre los peces grandes, y sus habilidades lo convierten en un objetivo tentador para los atacantes.

En junio, los investigadores descubrieron errores de Atlassian que podrían haber llevado a una toma de control con un solo clic, un escenario que recordó el potencial de un exploit que habría sido similar al ataque a la cadena de suministro de SolarWinds, en el que los atacantes usaron una contraseña predeterminada como una contraseña para abrir la puerta en un mecanismo de actualización de software.

Chris Morgan, analista senior de inteligencia de amenazas cibernéticas en el proveedor de riesgo digital Digital Shadows, dijo que la vulnerabilidad en el centro de la advertencia del miércoles es solo la última de una serie de errores que plagan las plataformas de ingeniería y administración del software que, si se explota, «podría conducir a una serie de resultados perniciosos «.

Si bien no hay evidencia de explotación activa en este momento, podemos esperar que ocurran intentos en los próximos uno a tres meses, predijo Morgan. «CVE-2020-36239 se puede aprovechar de forma remota para lograr la ejecución de código arbitrario y probablemente será de gran interés tanto para los ciberdelincuentes como para los actores estatales nacionales asociados», dijo. Señaló varios ataques recientes a la cadena de suministro, incluidos los ataques contra los proveedores de software Accellion y Kaseya, que explotaron vulnerabilidades para obtener acceso inicial y comprometer las compilaciones de software «que se sabe que son utilizadas por una base de clientes diversa».

Otros expertos en seguridad estuvieron de acuerdo con la evaluación de Morgan. Andrew Barratt, jefe de soluciones e investigaciones de la consultora de ciberseguridad Coalfire, dijo a Threatpost el jueves que la vulnerabilidad revelada por Atlassian el miércoles «muestra que los atacantes todavía están tratando de explotar las economías de escala y comprometer a más partes utilizando vulnerabilidades a nivel de plataforma única».

Espere explotación, ataques salvajes

TL; DR: aplique la actualización lo antes posible o implemente las soluciones alternativas de Atlassian, señaló Morgan.

Dicho esto, el impacto real depende de la exposición de las API de RMI, sugirió Barratt. «Esto podría conducir a campañas dirigidas que se centren en los desarrolladores (históricamente que tienen muchos privilegios y herramientas útiles en sus máquinas) que luego intentan eliminar el malware que explota las vulnerabilidades de Atlassian para una mayor manipulación del desarrollo de productos», dijo.

De manera optimista, el problema podría desaparecer antes de que se convierta en serio, ya que Atlassian ya está lanzando parches y brindando consejos sobre mitigaciones temporales, agregó Barratt. «Es de esperar que la ventana para que esto sea un problema sea mínima, y ​​algunas revisiones de seguimiento del sistema para verificar los indicadores de compromiso garantizarán que nada grave haya salido mal».

Barratt cree que lo más preocupante debería ser «el enfoque renovado en una potencial mina de oro de oportunidades». Aunque apuntar a los desarrolladores no es nada nuevo, dijo, apuntar a sus herramientas, plataforma y reducir la confianza potencial en el producto «muestra la necesidad de herramientas de orquestación de seguridad que puedan ayudar a traer diversidad al problema. En la vista de administración única».

Técnicamente, Shawn Smith, director de infraestructura del proveedor de seguridad de aplicaciones nVisium, dijo que los ataques a la cadena de suministro son un buen argumento contra las dependencias de actualización automática, pero «eso también significa que la seguridad de los equipos necesita monitorearlas y administrarlas de manera efectiva y eficiente», dijo a Threatpost a través de correo electrónico el jueves.

«Cualquier actualización de dependencia debe ser verificada antes de su uso y los sistemas deben usar dependencias de versión bloqueada para evitar que los sistemas CI / CD obtengan las últimas actualizaciones de forma predeterminada», agregó. «Al mismo tiempo, los equipos de seguridad deben monitorear para asegurarse de que las vulnerabilidades no estén contaminando las versiones que están usando y asesorar a los desarrolladores y equipos de operaciones en caso de problemas».

.

No te olvides compartir en una historia de tu Instagram para que tus colegas lo flipen

??? ? ? ???

Comparte