Le fabricant de logiciels australien Atlassian a en fait lancé des correctifs pour CVE-2023-22501, une vulnérabilité d’authentification cruciale dans Jira Service Management Server et Data Center, et conseille aux utilisateurs de mettre à jour rapidement.
» La configuration d’une version réparée de Jira Service Management est la méthode recommandée pour remédier à cette vulnérabilité. Si vous ne parvenez pas à mettre à jour instantanément Jira Service Management, vous pouvez mettre à jour manuellement le servicedesk-variable-substitution-plugin JAR comme solution de contournement momentanée », ont-ils encouragé.
À propos de CVE-2023-22501
Jira Service Management Server et Data Center sont des options d’entreprise pour la gestion des services informatiques, reliant et permettant la coopération entre le développement, les opérations informatiques et les groupes organisationnels.
CVE-2023-22501 est une vulnérabilité qui rompt l’authentification sur les circonstances vulnérables locales et permet aux agresseurs de se faire passer pour un autre utilisateur et d’accéder aux circonstances dans lesquelles s scénarios spécifiques.
« Avec l’accès de composition à un annuaire d’utilisateurs et aux e-mails sortants rendu possible sur une instance Jira Service Management, un agresseur pourrait accéder aux jetons d’inscription envoyés aux utilisateurs avec des comptes qui ont réellement jamais été connecté. L’accès à ces jetons peut être acquis dans 2 cas : si l’agresseur est inclus dans les préoccupations ou demandes Jira avec ces utilisateurs, ou si l’adversaire est transféré ou accède autrement à des e-mails consistant en un lien « Afficher la demande » de ces utilisateurs », Atlassian décrit.
« Les comptes de robots sont particulièrement sensibles à cette situation. Dans des circonstances avec une authentification unique, les comptes de consommateurs externes peuvent être affectés dans des projets où n’importe qui peut créer son propre compte. »
Aucune atténuation, réparation conseillée, essayez de trouver les comptes potentiellement affectés
Les variantes 5.3.0 à 5.3.2 et 5.4.0 à 5.5.0 de Jira Service Management Server et Data Center sont impactées, et les consommateurs sont invités à configurer une variante réparée : 5.3.3, 5.4.2, 5.5.1, 5.6 .0 ou version ultérieure. La société invite les clients à mettre à jour même si leur instance n’est pas exposée au Web, et même s’ils utilisent un site d’annuaire d’utilisateurs externe avec SSO activé pour communiquer avec l’instance.
Il n’y a pas de schéma d’autorisation de tâche ou de paramètre de travail qui puisse atténuer cette vulnérabilité, ont-ils ajouté.
Atlassian n’a pas indiqué comment ils ont appris l’existence de CVE-2023-22501, et ont noté qu’ils avaient aucun aperçu de savoir s’il a été utilisé sur les circonstances d’un consommateur pour un accès non approuvé.Aucun avis ou e-mail n’est envoyé si un opposant nt modifie le mot de passe d’un utilisateur. Ainsi, après avoir mis à jour les circonstances, les consommateurs doivent noter les comptes éventuellement concernés, c’est-à-dire les comptes dont le mot de passe a été modifié et auxquels ils se sont connectés depuis l’installation de la version vulnérable.
Pour ces comptes, ils doivent :
- Vérifier que les adresses e-mail associées aux comptes n’ont effectivement pas été altérées
- Forcer une modification de mot de passe pour tous les utilisateurs potentiellement compromis
- Naviguer vers un profil public de l’utilisateur et consultez le flux d’activité pour confirmer les interactions récentes avec les tickets Jira
« S’il est identifié que votre situation Jira Service Management Server/DC a été compromise, nous vous conseillons de fermez et déconnectez le serveur du réseau/Internet. En outre, vous pouvez arrêter immédiatement tous les autres systèmes qui partagent éventuellement une base d’utilisateurs ou qui ont des mélanges typiques de nom d’utilisateur/mot de passe avec le système en danger. Avant de faire quoi que ce soit d’autre, vous devrez besoin de travailler avec votre secu local équipe de sécurité pour reconnaître l’étendue de la violation et vos choix de récupération », ont-ils conclu.
Toute l’actualité en temps réel, est sur L’Entrepreneur
