Проблема связана с тем, что старые версии программного обеспечения содержат уязвимый прокси-сервер, который можно использовать для проведения атак с межсайтовыми сценариями (XSS, скриптинг) и атак Server Side Request Forgery (SSRF позволяет совершать запросы с уязвимого сервера и возвращает конфиденциальные данные из внутренней сети).
Злоумышленник может использовать атаку SSRF, которая позволят отфильтровать метаданные, среди которых есть и секретные коды доступа. Приватные ключи в руках злоумышленника могут привести к захвату инстанса, что приведет к краже или уничтожению данных.
Национальный институт стандартов и технологий (NIST) присвоил этому багу 6.1 баллов из 10 по шкале опасности. Уязвимость была зафиксирована в марте 2017 года и получила идентификатор CVE-2017-9506. Atlassian сообщила, что устранила эту проблему.
Несмотря на то, что продукты были обновлены, многие компании по-прежнему используют устаревшие версии программного обеспечения, которые часто размещаются на субдомене компании или легко доступны для поиска. Мы и сейчас наблюдаем десятки инстансов российских компаний, работающих на уязвимых версиях Jira и Confluence.
Согласно Atlassian, уязвимы следующие версии:
- Bamboo < 6.0.0
- Confluence < 6.1.3
- Jira < 7.3.5
- Bitbucket < 4.14.4
- Crowd < 2.11.2
- Crucible & Fisheye < 4.3.2
Если вы все еще используете проблемные версии, рекомендуем как можно скорее проверить уязвимость и обновить их. Вы можете сделать это самостоятельно или обратиться к специалистам «Апланы».
Источники: http://dontpanic.42.nl/2017/12/there-is-proxy-in-your-atlassian.html https://www.zdnet.com/article/jira-bug-exposed-private-server-keys-at-major-companies-researcher-finds/