Старые версии программного обеспечения Atlassian содержат уязвимый прокси-сервер, который можно использовать для проведения атак с межсайтовыми сценариями (XSS, скриптинг) и атак Server Side Request Forgery (SSRF позволяет совершать запросы с уязвимого сервера и возвращает конфиденциальные данные из внутренней сети).
Злоумышленник может использовать атаку SSRF, которая позволят отфильтровать метаданные Amazon Web Services (AWS), среди которых есть и секретные коды доступа. Приватные ключи в руках злоумышленника могут привести к захвату инстанса, что приведет к краже или уничтожению данных.
Национальный институт стандартов и технологий (NIST) присвоил этому багу 6.1 баллов из 10 по шкале опасности. Уязвимость была зафиксирована в марте 2017 года и получила идентификатор CVE-2017-9506. Вскоре компания Atlassian сообщила, что устранила эту проблему.
Несмотря на то, что продукты были обновлены, многие компании по-прежнему используют устаревшие версии программного обеспечения, которые часто размещаются на субдомене компании или легко доступны для поиска. Мы и сейчас наблюдаем десятки инстансов российских компаний, работающих на уязвимых версиях Jira и Confluence.
Согласно Atlassian, уязвимы следующие версии:
- Bamboo < 6.0.0
- Confluence < 6.1.3
- Jira < 7.3.5
- Bitbucket < 4.14.4
- Crowd < 2.11.2
- Crucible & Fisheye < 4.3.2
Если вы все еще используете проблемные версии продуктов Atlassian, рекомендуем как можно скорее обновить их. Вы можете сделать это самостоятельно или обратиться к специалистам компании «Аплана».