Çevik bir hizmet olarak planlama yazılımı (SaaS) aracı olan Atlassian Jira Align’daki iki güvenlik açığı, hizmete erişimi olan kullanıcıların uygulama yöneticisi olmalarına ve ardından Atlassian hizmetine saldırmalarına izin verebilir.
Bu, siber güvenlik hizmetleri firması Bishop Fox’a göre, bugün bir danışma belgesinde, güvenlik açıklarının nispeten iyi bilinen, ancak genellikle yakalanması zor kusurlar tarafından bulut hizmetlerine yönelik riskleri simgelediğini söyledi.
bu Bishop Fox tarafından bulunan iki güvenlik açığı Çevik geliştirme hedefleri belirlemek, bu hedeflere yönelik çabaları izlemek ve çevik stratejiler oluşturmak için kullanılan Jira Align uygulamasını etkiler. Bishop Fox, Jira Align’ın her örneği Atlassian tarafından sağlandığından, bir saldırganın şirketin bulut altyapısının bir bölümünün kontrolünü ele geçirebileceğini belirtti.
Bishop Fox’a göre, bir sunucu tarafı istek sahteciliği (SSRF) olan bir güvenlik açığı, bir kullanıcının “Jira Align örneğini sağlayan Atlassian hizmet hesabının AWS kimlik bilgilerini” almasına izin verebilir.
İkinci güvenlik açığı – Kişiler rolüne sahip kullanıcılar için yetkilendirme mekanizmasında – bu kullanıcıların rollerini, hesapları sıfırlama ve ayarları değiştirme gibi Jira Align kiracısının tüm ayarlarına erişimi olan Süper Yönetici’ye yükseltmelerine izin verebilir.
Kusurları bulan Bishop Fox’un güvenlik danışmanı Jake Shafer, iki kusurun birleşiminin önemli bir saldırıya izin verebileceğini söylüyor.
“Yetkilendirme bulgusunu kullanmak, düşük ayrıcalıklı bir kullanıcının rolünü süper yöneticiye yükseltmesine izin verecek ve bu da bilgi ifşası açısından saldırganın, SaaS istemcisinin Jira dağıtımında sahip olduğu her şeye erişmesine izin verecek” diyor. . “Oradan saldırgan, Atlassian altyapısının peşinden gitmek için SSRF bulgusunu kullanabilir.”
Bishop Fox tarafından yayınlanan açıklama zaman çizelgesine göre, her iki güvenlik açığı da düzeltildi – ilki bir hafta içinde ve ikincisi bir ay içinde.
Bununla birlikte, şirketler, bulut uygulamalarına artan bağımlılığın, bulut hizmetlerine ve iş yüklerine yönelik saldırıları çok daha yaygın hale getirdiğini, öyle ki üst düzey güvenlik açığı, Açık Web Uygulama Güvenliği Projesine (OWASP) görebozuk kimlik doğrulama ve erişim denetimi sorunları.
Ayrıca, otomatik araçların tam olarak tespit etmesi için yetkilendirme sorunları zordur; artı SSRF, saldırıları gerçekleştirmek için bir bulut hizmetinin işlevselliğini ve sunucularını kullanan, genellikle ağ kenarındaki güvenliği ve bazı dahili güvenlik önlemlerini atlayan nispeten yeni bir güvenlik açığı sınıfıdır.
Atlassian’ın Jira yazılımı, sunucu tarafı istek sahteciliğinin diğer örnekleriyle zaten uğraşmak zorunda kaldı, ancak şirket yalnız değil. 2019’da eski bir Amazon Web Hizmetleri, finans şirketi Capital One’dan veri çalmak için bir SSRF güvenlik açığı kullandı.
Bulut Güvenliği Hatalarıyla Nasıl Mücadele Edilir?
Shafer, bulut hizmetlerinin şirketlerin büyük çoğunluğunun operasyonlarının bir parçası haline gelmesiyle, en önemli bulut güvenlik açıklarıyla mücadele etmenin kritik olduğunu söylüyor.
“Bu SaaS uygulamalarının küçük ve büyük şirketlerin günlük operasyonlarında ne kadar entegre hale geldiğinin yaygınlığı ile, bu köklü şirketlerin bile hata yapabileceğini hatırlamak önemlidir” diyor. “Güven, ancak güvenmeniz gereken tüm yeni yazılımlar için, özellikle de teknolojide yerleşik bir şey için doğrulayın.”
Shafer, bu en son güvenlik açıklarının, geliştiricilerin bir isteği tamamlamadan önce kullanıcılar tarafından sağlanan içeriği her zaman iki kez kontrol etmeleri gerektiğini vurguladığını söylüyor. Ek giriş temizleme kontrolleri her iki saldırıyı da önleyebilir.
“Müşterilerin bulut altyapınıza girmesine izin veriyorsunuz, hizmet için para ödüyor olabilirler, ancak günün sonunda potansiyel bir saldırgan kadar güvenilmez olarak kabul edilmeleri gerekir” diyor.
Şirketler, üçüncü taraf uygulamalarını manuel olarak test ettiğinden veya bulut sağlayıcısına ulaştığından ve güvenlik değerlendirmelerinin sonuçlarını kontrol ettiğinden emin olmalıdır. Shafer, ne yazık ki otomatik araçların yetkilendirme sorunlarını keşfetme konusunda pek iyi olmadığını söylüyor.
“Bu araçlar, neyin aranacağına dair bir dizi talimata veya yönergeye dayanır ve yetkilendirme sorunlarıyla başa çıkmak, oradaki her bir yazılım parçası için farklı olacaktır” diyor. “Bir tarayıcının anlayabileceği ve ‘Hey, X kullanıcısı bu özel işlevsellik bağlamında Y’yi yapamaz’ diyebileceği bir dizi kural oluşturmak çok zor.”
Shafer, Atlassian’ın tepkisini övdü ve şirketin “tüm doğru şeyleri yaptığını” söyledi. Atlassian, zaman yayınlayarak bir yorumda bulunmadı.