À la suite du piratage de SolarWinds l’année dernière, Check Point Research (CPR) a décidé d’enquêter sur Atlassian pour voir si sa plate-forme, utilisée par 180 000 clients dans le monde, pourrait être victime d’une attaque similaire de la chaîne d’approvisionnement.
La société de cybersécurité a pu contourner les mesures de sécurité d’Atlassian et a trouvé des failles de sécurité dans ses logiciels de collaboration et ses outils de développement.
Selon un nouveau billet de blog de CPR, un attaquant aurait pu exploiter ces failles en un seul clic pour accéder au système de bogues Atlassian Jira et récupérer des informations sensibles sur le cloud Atlassian, Bitbucket et les produits sur site de l’entreprise.
Pour ceux qui ne le connaissent pas, Jira est un outil de développement logiciel utilisé par plus de 65 000 clients, dont Visa, Cisco et Pfizer, Confluence est un espace de travail d’équipe utilisé par plus de 60 000 clients, dont LinkedIn, la NASA et le New York Times et Bitbucket est un code source basé sur Git. service d’hébergement de référentiel. Un attaquant pourrait potentiellement utiliser tous ces produits dans une attaque de chaîne d’approvisionnement pour cibler à la fois les partenaires et les clients d’Atlassian.
Responsable de la recherche sur les produits et les vulnérabilités chez CPR, Oded Vanunu a expliqué dans un communiqué pourquoi les chercheurs en sécurité de l’entreprise ont décidé d’enquêter en premier lieu sur la plate-forme d’Atlassian, en déclarant :
« Les attaques de la chaîne d’approvisionnement ont suscité notre intérêt toute l’année, depuis l’incident de SolarWinds. Les plates-formes d’Atlassian sont au cœur du flux de travail d’une organisation. Une quantité incroyable d’informations sur la chaîne d’approvisionnement transite par ces applications, ainsi que par l’ingénierie et la gestion de projet. Par conséquent, nous avons commencé à nous poser une question quelque peu provocante : quelles informations un utilisateur malveillant pourrait-il obtenir s’il accédait à un compte Jira ou Confluence ? Notre curiosité nous a conduit à revoir la plateforme d’Atlassian, où nous avons trouvé des failles de sécurité. Dans un monde où les effectifs répartis dépendent de plus en plus des technologies distantes, il est impératif de s’assurer que ces technologies disposent des meilleures défenses contre l’extraction malveillante de données. Nous espérons que nos dernières recherches aideront les organisations à mieux faire connaître les attaques de la chaîne d’approvisionnement. »
Sommaire
Reprise de compte
Le CPR a noté dans son rapport sur la question que les défauts qu’il a trouvés affectent plusieurs sites Web gérés par Atlassian qui prennent en charge les clients et les partenaires, bien que les produits basés sur le cloud ou sur site de l’entreprise ne soient pas affectés.
La société de cybersécurité a également pu prouver que la prise de contrôle était possible pour les comptes Atlassian accessibles par sous-domaines sous son site Web principal, notamment jira.atlassian.com, confluence.atlassian.com, getsupport.atlassian.com, partners.atlassian.com , developer.atlassian.com, support.atlassian.com et training.atlassian.com.
Les failles de sécurité de la plate-forme d’Atlassian auraient pu permettre à un attaquant d’effectuer des attaques de type cross-site-scripting (XSS), des attaques de falsification de requêtes intersites (CSRF) et des attaques de fixation de session. En un seul clic, un attaquant pourrait s’emparer du compte Atlassian d’une victime, effectuer des actions en son nom, accéder aux tickets Jira, modifier le wiki Confluence d’une entreprise ou afficher les tickets sur GetSupport.
Le CPR a divulgué de manière responsable les failles de sécurité qu’il a découvertes à Atlassian début janvier et la société a déployé un correctif pour celles-ci le 18 mai.
