Alerta: Falhas de segurança na Atlassian com acesso a contas dos clientes

Plataforma Atlassian usada em todo o mundo para desenvolvimento de software e gestão de projetos apresentou falhas de segurança que permitiam o acesso às contas dos utilizadores. Depois das falhas terem sido detetadas pela Check Point foi feita a correção.

Alerta: Falhas de segurança na Atlassian com acesso a contas dos clientes
Alerta: Falhas de segurança na Atlassian com acesso a contas dos clientes. Foto: © Rosa Pinto

Falhas de segurança encontradas na Atlassian, plataforma utilizada por mais de 180.000 clientes em todo o mundo para desenvolvimento de software e gestão de projetos, foram identificadas pela empresa de cibersegurança, Check Point, e há indicação de que já foram corrigidas.

A Check Point alerta que com apenas um clique, o atacante poderia tomar controlo sobre contas e aceder ao sistema de bugs da Atlassian obtendo, assim, informações sensíveis, tais como as fragilidades de segurança presentes em produtos base, na cloud e em várias aplicações detidas pela empresa, como o Bitbucket, o Jira e o Confluence.

O Jira é uma ferramenta líder de desenvolvimento de software com mais de 65.000 utilizadores, entre os quais se incluem empresas como a Visa, a Cisco e a Pfizer. Já o Confluence é um software de colaboração com mais de 60.000 clientes, incluindo LinkedIn, NASA e o New York Times. Por sua vez, o Bitbucket é um serviço de hospedagem de código-fonte baseado em Git útil para o desenvolvimento de software e gestão de projetos. É de notar que a vulnerabilidade afetaria vários websites de serviço de apoio e manutenção da Atlassian a clientes e parceiros. Não impactaria, contudo, produtos baseados na cloud nem on-premise.

Roubo de contas

A Check Point Research provou ser possível tomar o controlo sobre contas da Atlassian através de subdomínios do endereço atlassian.com. Os subdomínios vulneráveis eram:

jira.atlassian.com
confluence.atlassian.com
getsupport.atlassian.com
partners.atlassian.com
developer.atlassian.com
support.atlassian.com
training.atlassian.com

Falhas de segurança

Se exploradas com sucesso, as falhas de segurança encontradas permitiriam a execução maliciosa de um número de atividades:

Ataques XSS (Cross-Site Scripting): scripts maliciosos são injetados em websites e aplicações web com o objetivo de serem executados no dispositivo do utilizador.

Ataques CSRF (Cross-site request forgery): ocorre quando um atacante incita os utilizadores a realizar atividades não pretendidas pelos mesmos.

Ataques de fixação de sessão: o atacante rouba a sessão estabelecida entre o cliente o servidor Web, assim que o utilizador inicia sessão.

Um atacante poderia tirar proveito das falhas de segurança encontradas pela Check Point Research para tomar controlo da conta da vítima, agir em seu nome e obter acesso a tickets do Jira. Além disso, poderia ainda editar o wiki do Confluence de uma empresa ou ver tickets na GetSupport. Acresce ainda, claro, a possibilidade de obter informações pessoais. Tudo com apenas um clique.

Metodologia de ataque

Para explorar as falhas de segurança reveladas, a ordem de operações do atacante seria:

  1. O atacante incita a vítima a clicar num link por si criado (vindo de um suposto domínio da “Atlassian”), que pode chegar ao utilizador via redes sociais, um e-mail falso, uma aplicação de mensagens, etc.
  2. Ao clicar no link, o payload envia um pedido em nome da vítima para a plataforma Atlassian, concretizando o ataque e roubando a sessão do utilizador
  3. O atacante inicia sessão nas apps da Atlassian que a vítima tem associadas à conta, obtendo acesso a toda a informação aí armazenada

Oded Vanunu, Head of Products Vulnerabilities Research da Check Point Software explicou: “Desde o incidente da SolarWinds que ataques em cadeia têm chamado a nossa atenção. As plataformas da Atlassian são centrais para o fluxo de trabalho de uma organização. Há uma quantidade incrível de informação que passa por estas aplicações, bem como dados de gestão e desenvolvimento de projetos. Portanto, começámos por colocar uma pergunta provocadora: ‘que informação poderia um agente malicioso obter se acedesse a uma conta Jira ou Confluence?’ A nossa curiosidade levou-nos a rever a plataforma da Atlassian, onde encontrámos falhas de segurança. Num mundo onde as forças de trabalho dependem cada vez mais de tecnologias remotas, assegurar que estas contam com as melhores defesas contra a extração de dados é imperativo. Esperamos que esta investigação ajude as organizações e as sensibilize para a ameaça dos ataques em cadeia.”