Atlassian, Jira “Hizmet Yönetimi” varyantında kritik bir güvenlik açığı keşfetti. Kimlik doğrulama mekanizmalarındaki bir arıza, oturum açma URL’lerine erişimi olan yetkisiz kişilerin meşru kullanıcılar gibi davranmasına olanak tanır.
Jira: Kritik güvenlik açığı, ancak belirli koşullar altında istismar edilebilir
Atlassian’ın bir güvenlik danışma belgesinde açıkladığı gibi, bir saldırının başarılı olabilmesi için çeşitli koşulların karşılanması gerekir. Saldırganın öncelikle sistemde oluşturulmuş ancak henüz aktifleştirilmemiş bir Jira kullanıcısının erişim jetonunu alması gerekmektedir. Bu belirteç, hizmet temsilcilerinin Jira ile çalışmasını kolaylaştırmak için biletlerin bir parçası olarak e-postayla gönderilebilir.
Bu belirteçle davetsiz misafir, çalınan kullanıcı hesabını etkinleştirebilir ve Jira örneğine erişim sağlayabilir. Saldırının çalışması için internetten erişilebilir olması veya saldırganın Jira sunucusuyla aynı ağda olması gerekir.
Atlassian’a göre bu saldırı senaryosu, diğer hesap türlerine göre bot hesaplarda daha olasıdır. Ancak, herkesin hesap oluşturmasına izin verilen durumlarda, müşteriler ve diğer harici taraflar da savunmasız olabilir. Üretici, güvenlik açığını şu şekilde sınıflandırır: “eleştirmen” ve bunları CVE ID CVE-2023-22501 ile kataloglar. CVSS puanı: 9.4 10 üzerinden, bu nedenle yöneticiler hemen yanıt vermelidir.
Etkilenen sürümler
Yalnızca “Jira Hizmet Yönetimi – Sunucu” ve “Jira Hizmet Yönetimi – Veri Merkezi”nin şirket içi sürümleri savunmasızdır, ancak yine Atlassian tarafından sunulan bulut tabanlı sürüm bu güvenlik açığından etkilenmez. Güvenlik açığı bulunan 5.3.0 – 5.3.2, 5.4.0 – 5.4.1 veya 5.5.0 sürümlerinden birini kullanan sistem yöneticileri, Atlassian tarafından sunulan yamayı geçici olarak yüklemeli ve ardından bulut sunucularını en kısa sürede sürüm 5.3.3, 5.4’e yükseltmelidir. 2, 5.5.1 veya herhangi bir sürüm 5.6.0 veya üzeri.
Yaklaşık altı ay önce Atlassian, Jira’da bir güvenlik açığı olduğu konusunda da uyarıda bulunmuştu. Jira’nın mobil eklentisindeki bir güvenlik açığı, kötü niyetli aktörlerin diğer şeylerin yanı sıra oturum açma verilerini gözetlemesine izin verdi.
(dmk)
Haberin Sonu
Jira: Kritik güvenlik açığı, ancak belirli koşullar altında istismar edilebilir
Atlassian’ın bir güvenlik danışma belgesinde açıkladığı gibi, bir saldırının başarılı olabilmesi için çeşitli koşulların karşılanması gerekir. Saldırganın öncelikle sistemde oluşturulmuş ancak henüz aktifleştirilmemiş bir Jira kullanıcısının erişim jetonunu alması gerekmektedir. Bu belirteç, hizmet temsilcilerinin Jira ile çalışmasını kolaylaştırmak için biletlerin bir parçası olarak e-postayla gönderilebilir.
Bu belirteçle davetsiz misafir, çalınan kullanıcı hesabını etkinleştirebilir ve Jira örneğine erişim sağlayabilir. Saldırının çalışması için internetten erişilebilir olması veya saldırganın Jira sunucusuyla aynı ağda olması gerekir.
Atlassian’a göre bu saldırı senaryosu, diğer hesap türlerine göre bot hesaplarda daha olasıdır. Ancak, herkesin hesap oluşturmasına izin verilen durumlarda, müşteriler ve diğer harici taraflar da savunmasız olabilir. Üretici, güvenlik açığını şu şekilde sınıflandırır: “eleştirmen” ve bunları CVE ID CVE-2023-22501 ile kataloglar. CVSS puanı: 9.4 10 üzerinden, bu nedenle yöneticiler hemen yanıt vermelidir.
Etkilenen sürümler
Yalnızca “Jira Hizmet Yönetimi – Sunucu” ve “Jira Hizmet Yönetimi – Veri Merkezi”nin şirket içi sürümleri savunmasızdır, ancak yine Atlassian tarafından sunulan bulut tabanlı sürüm bu güvenlik açığından etkilenmez. Güvenlik açığı bulunan 5.3.0 – 5.3.2, 5.4.0 – 5.4.1 veya 5.5.0 sürümlerinden birini kullanan sistem yöneticileri, Atlassian tarafından sunulan yamayı geçici olarak yüklemeli ve ardından bulut sunucularını en kısa sürede sürüm 5.3.3, 5.4’e yükseltmelidir. 2, 5.5.1 veya herhangi bir sürüm 5.6.0 veya üzeri.
Yaklaşık altı ay önce Atlassian, Jira’da bir güvenlik açığı olduğu konusunda da uyarıda bulunmuştu. Jira’nın mobil eklentisindeki bir güvenlik açığı, kötü niyetli aktörlerin diğer şeylerin yanı sıra oturum açma verilerini gözetlemesine izin verdi.
(dmk)
Haberin Sonu