Theo Check Point Research, "Chỉ với một cú nhấp chuột, hacker có thể khai thác các lỗ hổng để truy cập vào hệ thống Jira của Atlassian và đánh cắp thông tin nhạy cảm, chẳng hạn như các vấn đề bảo mật trên đám mây Atlassian, Bitbucket và trên các sản phẩm khác".
Sau khi các vấn đề được báo cáo cho Atlassian vào ngày 8/1/2021, công ty này đã triển khai bản vá vào ngày 18/5/2021. Các miền phụ bị ảnh hưởng bởi các lỗ hổng bao gồm:
- jira.atlassian.com
- confluence.atlassian.com
- getsupport.atlassian.com
- Partners.atlassian.com
- developer.atlassian.com
- support.atlassian.com
- training.atlassian.com
Việc khai thác thành công những lỗ hổng này có thể dẫn đến một cuộc tấn công chuỗi cung ứng, từ đó hacker có thể chiếm đoạt tài khoản người dùng và sử dụng tài khoản đó để thực hiện các hành động trái phép dưới quyền của nạn nhân như: chỉnh sửa Confluence, truy cập Jira ticket ...
Tấn công sử dụng quyền của người dùng
Các lỗ hổng tồn tại ở chức năng SSO, sử dụng để đảm bảo điều hướng liền mạch giữa các tên miền trên. Do đó, hacker tạo ra một kịch bản tấn công tiềm ẩn liên quan đến việc đưa mã độc vào nền tảng bằng XSS và CSRF, tiếp theo là khai thác một lỗ hổng sửa phiên để chiếm đoạt phiên một người dùng hợp lệ và kiểm soát một tài khoản.
Sau khi chiếm được tài khoản Jira, hacker có thể tiến hành giành quyền kiểm soát tài khoản Bitbucket bằng cách mở một ticket Jira được nhúng một liên kết độc hại đến một trang web giả mạo mà khi nhấp vào từ email được tạo tự động, có thể được sử dụng để ăn cắp thông tin đăng nhập, cấp cho họ quyền truy cập hoặc thay đổi mã nguồn, đặt kho lưu trữ ở chế độ công khai hoặc thậm chí chèn cửa hậu.
Các chuyên gia khuyến cáo người dùng cần theo dõi các bản cập nhật từ phía Atlassian để đảm bảo không bị ảnh hưởng bởi các lỗ hổng này trên Cloud của Atlassian.
Đăng Thứ (Theo The Hacker News)
15:00 | 09/06/2021
18:00 | 19/03/2021
07:00 | 10/02/2023
11:00 | 22/01/2021
16:00 | 15/04/2024
Cisco đã chia sẻ một bộ hướng dẫn dành cho khách hàng nhằm giảm thiểu các cuộc tấn công password spray đang nhắm mục tiêu vào các dịch vụ VPN truy cập từ xa (RAVPN) được cấu hình trên các thiết bị tường lửa bảo mật của Cisco.
13:00 | 07/02/2024
Vừa qua, Trung tâm ứng cứu khẩn cấp máy tính Ukraine (CERT-UA) phát cảnh báo về việc hơn 2.000 máy tính ở nước này đã bị lây nhiễm một loại phần mềm độc hại có tên là DirtyMoe.
07:00 | 18/01/2024
Một kỹ thuật khai thác mới có tên là SMTP Smuggling có thể được tin tặc sử dụng để gửi email giả mạo có địa chỉ người gửi giả và vượt qua các biện pháp bảo mật.
09:00 | 25/12/2023
Các nhà nghiên cứu tại công ty an ninh mạng Elastic Security Labs (Singapore) cho biết đã phát hiện các kỹ thuật mới được sử dụng bởi phần mềm độc hại GuLoader để khiến việc phân tích trở nên khó khăn hơn. Một trong những thay đổi này là việc bổ sung các ngoại lệ vào tính năng VEH (Vectored Exception Handler) trong một chiến dịch tấn công mạng mới đây.
Các nhà nghiên cứu tại tổ chức bảo mật phi lợi nhuận Shadowserver Foundation (California) cho biết hàng nghìn thiết bị Ivanti VPN kết nối với Internet có khả năng bị ảnh hưởng bởi một lỗ hổng thực thi mã từ xa.
08:00 | 17/04/2024