Esta semana se solucionó una vulnerabilidad crítica que podría permitir a un atacante hacerse pasar por un usuario y obtener acceso a los tokens de acceso en Jira Service Management Server, una popular plataforma de gestión de servicios de TI empresarial. Si el sistema está configurado para permitir la presentación pública, los clientes externos también pueden verse afectados.
El error se introdujo en Jira Service Management Server y Data Center 5.3.0, por lo tanto, las versiones 5.3.0 a 5.3.1 y 5.4.0 a 5.5.0 se ven afectadas. Atlassian ha publicado versiones corregidas del software, pero también ha proporcionado una solución alternativa que actualiza un solo archivo JAR en las implementaciones afectadas. Las instancias de Atlassian Cloud no son vulnerables.
Autenticación de Jira rota
Atlassian describe la vulnerabilidad, rastreada como CVE-2023-22501, como un problema de autenticación interrumpida y la califica como crítica en su propia escala de gravedad.
«Si el acceso de escritura a un directorio de usuarios y el correo electrónico saliente están habilitados en una instancia de Jira Service Management, un atacante podría obtener acceso a los tokens de inicio de sesión enviados a usuarios con cuentas que nunca han iniciado sesión», explicó la compañía en su recomendación. «El acceso a estos tokens se puede obtener en dos instancias: si el atacante está involucrado en problemas o solicitudes de Jira con estos usuarios, o si el atacante es redirigido u obtiene acceso a correos electrónicos que muestran un enlace de «Solicitud» contenido por estos usuarios. «
Las cuentas de bot creadas para trabajar con Jira Service Management son particularmente vulnerables a este escenario, advirtió la compañía. Aunque el error no afecta a los usuarios sincronizados a través de directorios de usuarios de solo lectura o SSO, los usuarios que interactúan con la instancia por correo electrónico aún se ven afectados incluso con SSO habilitado.
Jira Service Management se puede usar para configurar y administrar un centro de servicio que unifica las mesas de ayuda en diferentes departamentos, como TI, recursos humanos, finanzas o servicio al cliente, lo que permite que los equipos colaboren mejor en tareas comunes. También permite a las organizaciones administrar activos, realizar inventarios, realizar un seguimiento de la propiedad y el ciclo de vida, los equipos de TI pueden administrar la configuración de la infraestructura y realizar un seguimiento de las dependencias del servicio, y crear bases de conocimiento para el autoservicio. Dadas las muchas funciones que admite la plataforma y las tareas para las que se puede utilizar en un entorno corporativo, existe una alta probabilidad de que una gran cantidad de empleados, contratistas y clientes tengan cuentas en ella, así como la posibilidad de un uso indebido.
Mitigación de vulnerabilidades de Jira Service Management
La empresa hace hincapié en que las empresas que no ponen a disposición del público Jira Service Management deberían actualizarse a una versión fija lo antes posible. Si no puede actualizar todo el sistema, debe descargar el archivo jar con servicedesk-variable-substitution-plugin fijo para su versión específica, detenga Jira, coloque el archivo en el directorio
Una vez que se instala el JAR o la versión corregidos, las organizaciones pueden buscar en la base de datos usuarios cuya propiedad com.jsm.usertokendeletetask.completed esté establecida en TRUE porque se instaló la versión vulnerable. Estos son usuarios que podrían verse afectados, por lo que el siguiente paso es verificar que tengan las direcciones de correo electrónico correctas. Los usuarios internos deben tener el dominio de correo electrónico correcto y los usuarios registrados públicamente deben tener sus nombres de usuario idénticos a su dirección de correo electrónico.
Luego, se debe aplicar un restablecimiento de contraseña a todos los usuarios potencialmente afectados, lo que implica enviar un correo electrónico de confirmación, por lo que es imperativo que sus direcciones de correo electrónico sean correctas. La API de JIRA se puede utilizar para forzar el restablecimiento de contraseñas, incluida la caducidad de todas las sesiones activas y el cierre de sesión de posibles atacantes.
«Si se determina que su instancia de Jira Service Management Server/DC se ha visto comprometida, recomendamos apagar el servidor inmediatamente y desconectarlo de la red/internet», dijo la compañía en un documento de preguntas frecuentes que acompaña al aviso. «Además, es posible que desee cerrar de inmediato cualquier otro sistema que pueda compartir una base de usuarios o tener combinaciones comunes de nombre de usuario y contraseña con el sistema comprometido. Antes de hacer cualquier otra cosa, debe trabajar con su equipo de seguridad local para determinar el alcance de la infracción y sus opciones de recuperación».
Derechos de autor © 2023 IDG Communications, Inc.