Schwachstellen und Cloud-Ausfall

Bei Atlassian häufen sich Sicherheitsmängel

Eine Reihe von Sicherheitslücken in Produkten von Atlassian könnte es Cyberangreifern ermöglichen, Authentifizierungen zu umgehen und Schadcode auszuführen.
Von 
CSO | 21. Juli 2022 16:11 Uhr
Nach einem zweiwöchigen Cloud-Ausfall und Sicherheitslücken in dem Tool Confluence, hat der Anbieter Atlassian erneut mit Schwachstellen zu kämpfen.
Nach einem zweiwöchigen Cloud-Ausfall und Sicherheitslücken in dem Tool Confluence, hat der Anbieter Atlassian erneut mit Schwachstellen zu kämpfen.
Foto: sebra - shutterstock.com

Gleich sechs Produkte des Herstellers Atlassian enthalten mehrere Sicherheitslücken. Konkret handelt es sich um die Entwicklungslösungen Bamboo, Bitbucket, Fisheye und Crucible, das Collaboration-Tool Confluence und die Planungssoftware Jira. In Sicherheitshinweisen, die Atlassian veröffentlichte, ist vor allem von sogenannten „Servlet Filter Vulnerabilites“ die Rede.

Servlet-Filter-Schwachstelle

Die Schwachstelle, die als CVE-2022-26136 definiert wurde, ermöglicht es Cyberkriminellen, Servlet Filter zu umgehen. Diese Filter fangen Server-Anfragen ab und erzwingen die Authentifizierung des Users, bevor er Zugriff auf Assets erhält. Durch den Fehler ist ein Angriff über Cross Site Scripting (XSS) möglich. Dabei bettet der Angreifer Schadcode in eine vermeintlich vertrauenswürdige Umgebung ein. So kann er Browser übernehmen oder an vertrauliche Informationen gelangen.

Umgehen der Cross Origin Request

Bei der zweiten Sicherheitslücke in den Atlassian-Produkten, CVE-2022-26137, handelt es sich um eine Möglichkeit das "Cross Origin Resource Sharing" (CORS) auszunutzen. Bei einer Cross-Origin-Anfrage besucht ein Client eine Domain und lädt dabei Ressourcen einer anderen Domain über Client-seitige Skripte. Damit dabei keine Inhalte oder auch Schadprogramme ohne das Wissen der Nutzer von anderen Servern geladen werden, verbietet die Same Origin Policy (SOP) das Nachladen von fremden Servern. Beim CORS hingegen sind sich die Webseitenbetreiber über den Datenaustausch bewusst und akzeptieren ihn, die Anfrage wird also erlaubt.

Das Problem bei den Atlassian-Tools: Hacker nutzen spezielle HTTP-Anforderungen und rufen damit den anfälligen Servlet Filter auf, der die CORS-Anfrage beantwortet. Da sie den Servlet Filter und die Authentifizierung aushebeln können, gilt die CORS-Anfrage als bestätigt. Somit können die Angreifer auf anfällige Anwendungen zugreifen.

Hartcodierte Passwörter in Confluence-App

Einen weiteren Sicherheitsfehler hat die Atlassian-Community in der Confluence-App entdeckt. In dem Code der App seien hartcodierte Anmeldeinformationen enthalten. Diese Informationen sind nötig für die Authentifizierung von ein- und ausgehender Kommunikation, Nutzer können diese aber nicht abändern. Häufig verwenden Hersteller dieselben hartcodierten Kennwörter für alle Anwendungen oder Geräte aus einer Serie oder Modellreihe. Cyberkriminelle könnten sich somit Zugang zu allen Anwendungen verschaffen, die mit diesen hartcodierten Informationen gesichert sind – auch zu Confluence.

Die Meldung über die Sicherheitslücken erscheint nur wenige Wochen nachdem der Hersteller bereits andere kritische Mängel in Confluence zugeben musste. Dazu kommt der Ausfall von Cloud-Diensten im April, der zwei Wochen andauerte.

Melanie Staudacher ist Editor bei CSO. Ihr Schwerpunkt ist IT-Security.