Atlassian émet un avertissement de sécurité après avoir découvert des vulnérabilités plus critiques
Deux failles critiques affectant les principaux produits Atlassian pourraient mettre en danger la sécurité des clients, a averti l’éditeur de logiciels. Il s’agit de la deuxième vulnérabilité majeure qu’Atlassian a découverte en six semaines et le fournisseur affirme qu’il ne peut pas garantir qu’il n’aura pas à publier d’avis dans un proche avenir alors qu’il tente de s’attaquer à la racine des problèmes.
Publiée dans l’avis de sécurité de juillet de l’entreprise, la paire de vulnérabilités du répartiteur de filtre de servlet permet aux attaquants d’utiliser des requêtes HTTP spécialement conçues pour contourner, manipuler ou invoquer des filtres de servlet, qui peuvent être utilisés pour authentifier les utilisateurs.
Atlassian produit des outils de productivité pour les entreprises et affirme avoir 180 000 clients dans le monde, avec plus de 10 millions d’utilisateurs actifs par mois. Il affirme également que 83 % des entreprises du Fortune 500 utilisent au moins un de ses produits.
Vulnérabilités Atlassian : comment affectent-elles les systèmes ?
Les logiciels touchés par les vulnérabilités récemment découvertes incluent Bamboo, Bitbucket, Confluence, Fisheye, Crucible et Jira, et Atlassian affirme que davantage de ses produits pourraient également être touchés car il n’a pas encore cartographié toutes les conséquences des problèmes.
Il a publié des correctifs pour les services cloud où son logiciel est déployé, et des mises à jour sont disponibles pour les anciennes versions de ses produits impactées par les failles.
Atlassian a publié des mises à jour qui corrigent la cause première de cette vulnérabilité, mais n’a pas énuméré de manière exhaustive toutes les conséquences potentielles de cette vulnérabilité, a-t-il déclaré dans un communiqué.
La première des failles, CVE-2022-26136, permet à un attaquant d’envoyer une adresse HTTP spécialement conçue qui lui permet de contourner les filtres de servlet personnalisés. Atlassian a expliqué dans sa note : L’impact dépend des filtres utilisés par chaque application et de la manière dont les filtres sont utilisés.
La même faille peut également être utilisée dans une attaque de script intersite. C’est là qu’une autre requête HTTP peut être utilisée pour inciter un utilisateur qui pense demander un service Atlassian légitime à demander une URL malveillante pour exécuter du JavaScript arbitraire dans son navigateur.
Contenu de nos partenaires
L’autre vulnérabilité, connue sous le nom de CVE-2022-26137, se trouve également dans plusieurs produits Atlassian et permet à des attaques à distance non authentifiées d’appeler des filtres de servlet supplémentaires chaque fois que les processus d’application font une demande ou une réponse. Un attaquant qui peut inciter un utilisateur à demander une URL malveillante peut accéder à l’application vulnérable avec les autorisations des victimes, a déclaré la société.
Atlassian affirme avoir confirmé et corrigé les problèmes de sécurité connus associés à ces vulnérabilités, mais n’a pas pu déterminer une liste complète des applications concernées.
Vulnérabilités Atlassian : d’autres avis pourraient être en cours.
Atlassian considère les vulnérabilités comme graves car elles affectent le code inclus avec chaque produit, de sorte que les systèmes sont toujours impactés même s’ils n’ont pas d’applications tierces installées. La société affirme qu’elle ne peut pas confirmer si un système a été compromis, de sorte que les clients devront se tourner vers leurs propres équipes de sécurité pour mener des enquêtes plus approfondies.
Pour les entreprises utilisant des produits Atlassian, le fournisseur recommande de vérifier l’intégrité du système de fichiers de l’application, par exemple en comparant les artefacts dans leur état actuel avec des sauvegardes récentes pour voir s’il existe des différences inattendues.
Tous les compromis de sécurité sont différents, et il existe un risque qu’un attaquant puisse cacher son empreinte et modifier des fichiers importants tels que les journaux système, les journaux d’audit, les journaux d’accès, etc. en fonction du composant qui a été compromis, indique-t-il.
Atlassian ajoute qu’il continue d’enquêter sur les problèmes mais ne peut garantir qu’il n’y aura pas d’autres avis dans un proche avenir.
Cette dernière mise à jour de sécurité intervient quelques semaines seulement après la révélation d’une autre faille critique au sein de Confluence, le logiciel de collaboration sécurisé d’Atlassian. Le puissant botnet Dark IoT faisait partie de ceux qui ont profité du problème. Une faille similaire a également été découverte et corrigée l’année dernière.