- Check Point Research decidió investigar a Atlassian, después de que el incidente de SolarWinds pusiera en el mapa los ataques a la cadena de suministro
- Los investigadores han logrado burlar las medidas de seguridad de esta plataforma, demostrando que los ciberdelincuentes podrían haber inyectado código malicioso, realizado acciones en nombre de los usuarios y secuestrado sus sesiones
- CPR ha revelado responsablemente los resultados de la investigación a Atlassian, que ha desplegado una solución de seguridad
Check Point Research (CPR), la división de Inteligencia de Amenazas de Check Point, un proveedor líder de soluciones de ciberseguridad a nivel mundial, Check Point Research (CPR) ha descubierto fallos de seguridad en Atlassian, una plataforma utilizada por 180.000 clientes en todo el mundo para diseñar software y gestionar proyectos. Con un solo clic, los ciberdelincuentes podrían haber utilizado los fallos de seguridad para acceder al sistema de Atlassian Jira y obtener información sensible como los problemas de seguridad en la nube de Atlassian, Bitbucket y los productos en instalaciones propiedad del cliente.
Jira es una herramienta líder de desarrollo de software utilizada por más de 65.000 clientes, como Visa, Cisco y Pfizer. Confluence es un espacio de trabajo para equipos remotos utilizado por más de 60.000 clientes, como LinkedIn, la NASA y el New York Times. Bitbucket es un servicio de alojamiento de archivos de código fuente basado en Git. Todo esto puede utilizarse en un ataque a la cadena de suministro para atacar a los socios y clientes de Atlassian.
Es importante destacar que la vulnerabilidad ha llegado a afectar a varias páginas web mantenidas por Atlassian, que dan soporte a clientes y socios, aunque no afecta a sus productos basados en la nube o en instalaciones propiedad del cliente.
Robo de cuentas
Check Point Research ha demostrado que la apropiación de cuentas era una posibilidad en los dominios relacionados con Atlassian y que, además, eran accesibles a través de subdominios bajo atlassian.com:
- jira.atlassian.com
- confluence.atlassian.com
- getsupport.atlassian.com
- partners.atlassian.com
- developer.atlassian.com
- support.atlassian.com
- training.atlassian.com
Fallos de seguridad
Los errores de seguridad encontrados habrían permitido ejecutar una serie de posibles actividades maliciosas:
- Ataques de Cross-Site Scripting (XSS): los ciberdelincuentes inyectan scripts maliciosos en sitios y aplicaciones web con el fin de ejecutarlos en el dispositivo del usuario final.
- Ataques de falsificación de peticiones entre sitios (CSRF): los atacantes inducen a los usuarios a realizar acciones que no tienen intención de realizar.
- Ataques de bloqueo de sesión: roban la sesión establecida entre el cliente y el servidor web después de que el usuario se conecte.
En otras palabras, un ciberdelincuente podría utilizar los fallos de seguridad encontrados por Check Point Research para tomar el control de la cuenta de una víctima, realizar acciones en su nombre y obtener acceso a los tickets de Jira. Además, les sería posible haber editado la wiki de Confluence de una empresa, o ver los billetes en GetSupport. Los ciberdelincuentes se habrían hecho con una gran cantidad de información personal. Todo esto a través de un sencillo clic.
Metodología de ataque
Para explotar estos errores, el orden de operaciones de un ciberdelincuentes habría sido:
- Atraen a la víctima para que haga clic en un enlace manipulado (procedente del dominio «Atlassian»), ya sea desde las redes sociales, un correo electrónico falso o una aplicación de mensajería, etc.
- Al hacer clic en la URL, el payload enviaría una petición en nombre de la víctima a la plataforma de Atlassian, que realizaría el ataque y robaría la sesión del usuario.
- El ciberdelincuente entra en las apps de Atlassian de la víctima asociadas a la cuenta, obteniendo toda la información sensible que allí se almacena.
“Desde los incidentes de SolarWinds del año pasado, los ataques a la cadena de suministro han sido de especial interés para Check Point Research. Las plataformas de Atlassian son fundamentales para los flujos de trabajo de muchas empresas ya que una gran cantidad de información de la cadena de suministro fluye a través de estas aplicaciones, y por ello, los investigadores comenzaron a preguntarse qué información podría obtener un usuario malicioso si accediera a una cuenta de Jira o Confluence”, afirma Eusebio Nieva, director técnico de Check Point Software para España y Portugal. “Esta curiosidad les llevó a revisar la plataforma de Atlassian, donde se encontraron estos fallos de seguridad. En un mundo en el que las plantillas de las compañías dependen cada vez más de las tecnologías remotas, es imperativo asegurarse de que tienen las mejores defensas contra el robo de datos”, concluye Nieva.
Sigue Check Point Research vía:
Blog: https://research.checkpoint.com/
. Leer artículo completo en Frikipandi Los fallos de seguridad en la plataforma de Atlassian podría permitir la apropiación de sus cuentas en un solo clic.