Supply Chain Attack

Kontoübernahme mit nur einem Klick: Check Point findet Schwachstelle bei Atlassian

, San Carlos, Check Point | Autor: Herbert Wieler

Kontoübernahme mit nur einem Klick: Check Point findet Schwachstelle bei Atlassian

Sicherheitsforscher haben eine Schwachstelle in der bei vielen Unternehmen beliebten Plattform entdeckt

Cyber Security-Experte Check Point hat sich im Zuge der ansteigenden Angriffe gegen Lieferketten und der Zwischenfälle rund um die SolarWinds-Attacke tiefgreifender mit Atlassian beschäftigt, einer Plattform die weltweit von über 180 000 Kunden genutzt wird. Die Ergebnisse waren alarmierend: Mit nur einem Klick hätte ein Angreifer eine Schwachstelle ausnutzen können, um Zugriff auf das Atlassian Jira Bug System zu erhalten und an sensible Informationen zu gelangen, wie Protokolle über Sicherheitsprobleme bei Atlassian Cloud, Bitbucket und On Premise-Produkten.

Die Schwachstelle betrifft mehrere von Atlassian gewartete Websites, die Kunden und Partner unterstützen. Cloud-basierte oder On-Premise-Produkte von Atlassian sind davon nicht betroffen. Die Sicherheitsforscher von Check Point konnten nachweisen, dass die Übernahme von Atlassian-Konten möglich war, die über Subdomains unter atlassian.com erreichbar sind. Die verwundbaren Subdomains lauten:

  • jira.atlassian.com
  • confluence.atlassian.com
  • getsupport.atlassian.com
  • partners.atlassian.com
  • entwickler.atlassian.de
  • support.atlassian.com
  • training.atlassian.com

Über die Sicherheitslücken

Die Sicherheitslücken hätten es einem Angreifer ermöglicht, eine Reihe von bösartigen Aktivitäten auszuführen:

  • Cross-Site-Scripting (XSS)-Angriffe: bösartige Skripte werden in Websites und Webanwendungen eingeschleust, um sie auf dem Gerät des Endanwenders auszuführen.
  • Cross-Site-Request-Forgery (CSRF)-Angriffe: Der Angreifer veranlasst Benutzer dazu, Aktionen auszuführen, die sie nicht beabsichtigen.
  • Session-Fixation-Angriffe: Der Angreifer übernimmt die aufgebaute Sitzung zwischen dem Client und dem Webserver, nachdem sich der Benutzer angemeldet hat.
Oded Vanunu, Head of Products Vulnerabilities Research bei Check Point Software

„Die Plattformen von Atlassian sind zentral für die Arbeitsabläufe eines Unternehmens. Eine unglaubliche Menge an Lieferketten-Information fließt durch diese Anwendungen, ebenso zur Entwicklung und den Projekten“, erklärt Oded Vanunu, Head of Products Vulnerabilities Research bei Check Point Software: „Daher stellten wir uns eine etwas provokante Frage: Welche Informationen könnte ein Angreifer erhalten, wenn er auf ein Jira- oder Confluence-Konto zugreift? Unsere Neugier führte dazu, die Plattform von Atlassian zu prüfen, wo wir Sicherheitslücken fanden. Da Fernarbeit zunimmt und entsprechender Technologie abhängig ist, wird es für sämtliche Firmen unerlässlich sein, die besten verfügbaren Schutzmaßnahmen gegen Datenklau einzuführen. Wir hoffen, dass unsere Untersuchung helfen wird, das Bewusstsein für Angriffe gegen die Lieferkette zu schärfen.“

Mit anderen Worten: Ein Angreifer könnte die von CPR gefundenen Sicherheitslücken nutzen, um die Kontrolle über das Konto eines Angestellten zu übernehmen und Aktionen in dessen Namen durchzuführen oder Zugriff auf Jira-Tickets zu erhalten. Außerdem hätte ein Angreifer das Confluence-Wiki eines Unternehmens bearbeiten oder Tickets bei GetSupport einsehen können. Der Angreifer wäre darüber hinaus in der Lage gewesen, um persönliche Informationen zu stehlen. All dies konnte mit nur einem Klick erreicht werden.

Angriffsmethode

Um die Sicherheitslücken auszunutzen, hätte ein Angreifer folgendermaßen vorgehen müssen:

  1. Der Angreifer bringt das Opfer dazu, auf einen manipulierten Link zu klicken (der von der Domain „Atlassian“ stammt) – entweder über soziale Medien, eine E-Mail oder eine Messaging-App.
  2. Wenn das Opfer auf den Link klickt, sendet die Payload eine Anfrage im Namen des Opfers an die Atlassian-Plattform, die den Angriff ausführt und die Benutzersitzung übernimmt.
  3. Der Angreifer meldet sich bei den Atlassian-Apps des Opfers an, die mit dem Konto verbunden sind, und erlangt so alle sensiblen Informationen, die dort gespeichert sind.

Check Point Research hat seine Forschungsergebnisse am 8. Januar 2021 gegenüber Atlassian verantwortungsvoll offengelegt. Atlassian teilte mit, dass am 18. Mai 2021 ein Fix implementiert wurde.