jeudi, 28 mars 2024

Atlassian corrige une vulnérabilité critique dans le logiciel Jira

Crédit : Dreamstime

Une vulnérabilité importante a été corrigée cette semaine dans Jira Service Management Server, une plate-forme de gestion de services informatiques populaire pour les entreprises, qui pourrait permettre aux opposants de se faire passer pour des utilisateurs et d’accéder à des jetons. Si le système est configuré pour permettre l’inscription publique, les clients externes peuvent également être impactés.

Le bogue a été introduit dans Jira Service Management Server et Data Center 5.3.0, donc les variations 5.3.0 à 5.3.1 et 5.4.0 à 5.5.0 sont concernés. Atlassian a en fait lancé des versions réparées de l’application logicielle, mais a également fourni une solution de contournement qui consiste à mettre à niveau un seul fichier JAR dans les déploiements concernés. Les circonstances Atlassian Cloud ne sont pas sensibles.

Authentification Jira interrompue

Atlassian décrit la vulnérabilité, identifiée comme CVE-2023-22501, comme un problème d’authentification endommagée et l’évalue comme une intensité critique selon sa propre échelle de gravité.

 » Avec un accès composé à un annuaire d’utilisateurs et des appels sortants e-mail autorisé dans des circonstances Jira Service Management, un ennemi pourrait accéder aux jetons d’inscription envoyés aux utilisateurs avec des comptes qui n’ont en fait jamais été connectés « , a expliqué la société dans son avis.

 » L’accès à ces jetons peut être obtenu dans deux cas : si l’agresseur est composé de préoccupations ou de demandes Jira avec ces utilisateurs, ou si l’adversaire est transféré ou accède autrement à des e-mails contenant un lien « Afficher la demande » de ces utilisateurs. « 

Les comptes de robots qui ont été créés pour gérer Jira Service Management sont particulièrement sujets à ce scénario, a averti la société. Même si la faille n’affecte pas les utilisateurs synchronisés via des sites d’annuaire d’utilisateurs en lecture seule ou SSO, les utilisateurs qui se connectent aux circonstances par e-mail sont toujours affectés même lorsque SSO est autorisé.

Jira Service Management peut être utilisé pour mettre en place et gérer un centre de services qui unifie les bureaux d’assistance de différents départements, tels que l’informatique, les ressources humaines, les finances ou le service client, permettant aux équipes de mieux travailler ensemble sur des tâches partagées.

Cela permet également aux entreprises de gérer la possession, effectuer des inventaires, suivre la propriété et le cycle de vie, les équipes informatiques peuvent gérer la configuration des installations et suivre les dépendances de service, et peuvent créer des bases de connaissances pour le libre-service.

Étant donné les nombreuses fonctionnalités prises en charge par la plate-forme et les tâches il peut être utilisé dans un environnement d’entreprise, la possibilité qu’un grand nombre d’employés, de sous-traitants et de consommateurs aient des comptes dessus est élevée, tout comme la possibilité d’abus.

Vulnérabilité de Jira Service Management atténuation

L’entreprise souligne que les entreprises qui n’exposent pas ouvertement Jira Service Management doivent tout de même passer à une variante fixe dès que possible. S’ils ne peuvent pas mettre à jour l’ensemble du système, ils doivent télécharger le JAR servicedesk-variable-substitution-plugin réparé pour leur variation particulière, arrêter Jira, copier le fichier dans le site du répertoire Jira_Home/plugins/installed-plugins et après cela, commencer Jira à nouveau.

Dès que le conteneur réparé ou la variante de correctif a été configuré, les entreprises peuvent parcourir la base de données pour les utilisateurs avec la propriété com.jsm.usertokendeletetask.completed définie sur « REAL » car le vulnérable version a bien été installée.

Ce sont des utilisateurs qui pourraient avoir été impactés, donc la prochaine action est de valider qu’ils ont les adresses e-mail appropriées. Les utilisateurs internes doivent avoir le bon domaine de messagerie et les utilisateurs ouvertement inscrits doivent avoir leurs noms d’utilisateur identiques à leur adresse e-mail.

Une réinitialisation du mot de passe doit alors être requise pour tous les utilisateurs potentiellement concernés, ce qui inclut un e-mail de vérification envoyé, il est donc essentiel que leurs adresses e-mail soient correctes. L’API JIRA peut être utilisée pour forcer les réinitialisations de mot de passe, y compris l’expiration de toutes les sessions actives et la déconnexion de tout attaquant potentiel.

 » S’il est identifié que votre situation Jira Service Management Server/DC a été compromise, nos conseils est d’arrêter instantanément et de détacher le serveur du réseau/Internet « , a déclaré la société dans un fichier FAQ accompagnant l’avis.

 » Vous voudrez peut-être arrêter instantanément tout autre système qui partage éventuellement un utilisateur base ou avoir des combinaisons typiques nom d’utilisateur/mot de passe avec le système compromis. Avant de faire quoi que ce soit d’autre, vous devrez traiter avec votre groupe de sécurité régional pour identifier l’étendue de la violation et vos choix de guérison. « 

Toute l’actualité en temps réel, est sur L’Entrepreneur

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici