Falhas na plataforma Atlassian permitiam roubar contas com um clique

A Check Point Research (CPR) alerta para um conjunto de falhas de segurança encontradas na Atlassian, plataforma utilizada por mais de 180 mil clientes em todo o mundo para desenvolvimento de software e gestão de projetos. Com apenas um clique, o atacante poderia tomar controlo sobre contas e aceder ao sistema de bugs da Atlassian obtendo, assim, informações sensíveis, tais como as fragilidades de segurança presentes em produtos base, na cloud e em várias aplicações detidas pela empresa, como o Bitbucket, o Jira e o Confluence. 

O Jira é uma ferramenta de desenvolvimento de software com mais de 65 mil utilizadores, entre os quais se incluem empresas como a Visa, a Cisco e a Pfizer. Já o Confluence é um software de colaboração com mais de 60 mil clientes, incluindo LinkedIn, NASA e o New York Times. Por sua vez, o Bitbucket é um serviço de hospedagem de código-fonte baseado em Git útil para o desenvolvimento de software e gestão de projetos. É de notar que a vulnerabilidade afetaria vários websites de serviço de apoio e manutenção da Atlassian a clientes e parceiros. Não impactaria, contudo, produtos baseados na cloud nem on-premises.  

A Check Point Research provou ser possível tomar controlo sobre contas da Atlassian através de subdomínios do endereço atlassian.com. Os subdomínios vulneráveis eram jira.atlassian.com; confluence.atlassian.com; getsupport.atlassian.com; partners.atlassian.com; developer.atlassian.com; support.atlassian.com; e training.atlassian.com.

Se exploradas com sucesso, as falhas de segurança encontradas permitiriam a execução maliciosa de um número de atividades:

• Ataques XSS (Cross-Site Scripting): scripts maliciosos são injetados em websites e aplicações web com o objetivo de serem executados no dispositivo do utilizador.
• Ataques CSRF (Cross-site request forgery): ocorre quando um atacante incita os utilizadores a realizar atividades não pretendidas pelos mesmos.
• Ataques de fixação de sessão: o atacante rouba a sessão estabelecida entre o cliente o servidor Web, assim que o utilizador inicia sessão.

Por outras palavras, um atacante poderia tirar proveito das falhas de segurança encontradas pela Check Point Research para tomar controlo da conta da vítima, agir em seu nome e obter acesso a tickets do Jira. Além disso, poderia ainda editar o wiki do Confluence de uma empresa ou ver tickets na GetSupport. Acresce ainda, claro, a possibilidade de obter informações pessoais. Tudo com apenas um clique.

Oded Vanunu, Head of Products Vulnerabilities Research da Check Point Software explica as motivações da investigação. “Desde o incidente da SolarWinds que ataques em cadeia têm chamado a nossa atenção. As plataformas da Atlassian são centrais para o fluxo de trabalho de uma organização. Há uma quantidade incrível de informação que passa por estas aplicações, bem como dados de gestão e desenvolvimento de projetos. Portanto, começámos por colocar uma pergunta provocadora: ‘que informação poderia um agente malicioso obter se acedesse a uma conta Jira ou Confluence?’ A nossa curiosidade levou-nos a rever a plataforma da Atlassian, onde encontrámos falhas de segurança. Num mundo onde as forças de trabalho dependem cada vez mais de tecnologias remotas, assegurar que estas contam com as melhores defesas contra a extração de dados é imperativo. Esperamos que esta investigação ajude as organizações e as sensibilize para a ameaça dos ataques em cadeia”.

A Check Point Research fez chegar as conclusões da sua investigação à Atlassian a 8 de janeiro de 2021. De acordo com a empresa, a 18 de maio de 2021, foi lançada uma patch de resolução.