Jira, le logiciel populaire de suivi des problèmes et de gestion de projet d’Atlassian, était vulnérable à une faille de falsification de requête côté serveur (SSRF) dont les chercheurs ont pu abuser sans obtenir d’informations d’identification.
« Il existe plusieurs façons de créer des comptes d’utilisateurs sur Jira afin d’exploiter ce problème en fonction de la configuration de l’instance Jira », a déclaré Assetnote CTO et fondateur Shubham Shah dans un article de blog.
Cela incluait l’abus de la fonction d’inscription de Jira Service Desk, qui est souvent activée dans le but de fournir un mécanisme de libre-service.
« Nous avons pu exploiter avec succès cette vulnérabilité post-authentification en nous enregistrant d’abord sur Jira Service Desk, puis en utilisant ce compte pour accéder aux API Jira Core REST », a déclaré Shah.
Impact variable
Suivi sous le nom de CVE-2022-26135, le SSRF de « haute gravité », en lecture complète, résidait dans Jira Server Core, « qui permet aux attaquants de faire des requêtes vers des URL arbitraires, avec n’importe quelle méthode HTTP, en-têtes et corps », a déclaré Shah.
Le problème affecte le point de terminaison HTTP par lots utilisé dans Mobile Plugin for Jira, qui est fourni avec Jira et Jira Service Management.
« Il est possible de contrôler la méthode HTTP et l’emplacement de l’URL prévue via le paramètre de méthode dans le corps du point de terminaison vulnérable », selon un conseil en sécurité d’Atlassian.
« Selon l’environnement dans lequel l’instance Jira est déployée, l’impact de ce bogue varie », a-t-il poursuivi. « Par exemple, lorsqu’il est déployé dans AWS, il pourrait divulguer des informations d’identification sensibles. »
UN exploit de preuve de concept façonné par les chercheurs d’Assetnote tente d’enregistrer un compte sur Jira Core ou Jira Service Desk, puis exploite automatiquement la vulnérabilité SSRF.
La faille a été signalée à l’équipe de sécurité d’Atlassian le 21 avril et des correctifs ont été mis en place le 29 juin.
Toutes les versions antérieures de Jira et Jira Service Management sont affectées par la vulnérabilité.
Leçons pour les chercheurs
Les chercheurs ont trouvé le SSRF après des correctifs d’ingénierie inverse pour un vulnérabilité de contournement d’authentification dans Seraph divulgué en avril 2022, qui a également affecté Mobile Plugin for Jira.
« L’évaluation des avis des fournisseurs, des correctifs et de l’ingénierie inverse des composants concernés peut parfois conduire à la découverte de nouvelles vulnérabilités », a observé Shah.
Il a également conseillé à d’autres chercheurs que « même lorsqu’il n’est pas possible de contourner l’authentification par des vulnérabilités, considérez le contexte complet de l’application et de ses fonctionnalités pour déterminer des méthodes alternatives pour exploiter les problèmes qui ont été découverts dans la surface d’attaque post-authentification ».