ذكاء نقاط الضعف

ثغرة أمنية في منتجات Atlassian (جيرا، كونفلوينس، تريلو، BitBucket) تؤثر على شركات متعددة

اكتشفنا أنه بالنسبة لمنتجات Atlassian (Jira و Confluence و BitBucket)، لا يتم إبطال ملفات تعريف الارتباط، حتى إذا تم تغيير كلمة المرور، مع تمكين 2FA (المصادقة الثنائية)، حيث أن صلاحية ملف تعريف الارتباط هي 30 يومًا. تنتهي صلاحيتها فقط عندما يقوم المستخدم بتسجيل الخروج، أو بعد 30 يومًا.

December 13, 2022

دقيقة

جدول المحتوى

مثال H2

22 ديسمبر: أقر Atlassian بالمشكلة وقام بتصحيحها. في 15 ديسمبر، استنادًا إلى بحثنا، قاموا بتبسيط عملية إبطال الخدمة الذاتية للرموز بعد تغيير كلمة المرور لمستخدمي السحابة: اقرأ الإقرار

Atlassian response to claims regarding session tokens/cookies vulnerability — استجابة Atlassian للمطالبات المتعلقة بضعف الرموز المميزة للجلسات/ملفات تعريف الارتباط

في 6 ديسمبر 2022، كلاود سيك كشفت عن هجوم سيبراني موجه إلى الشركة. خلال التحقيق في السبب الجذري للحادث، حدد فريق التحقيق الداخلي أن ممثل التهديد تمكن من الوصول إلى حساب Jira الخاص بموظف CloudSek، باستخدام ملفات تعريف الارتباط الخاصة بجلسة Jira الموجودة في سجلات السارق التي يتم بيعها على الويب المظلم.

بعد إجراء مزيد من التحقيق، تبين أنه بالنسبة لمنتجات Atlassian (Jira و Confluence و BitBucket)، لا يتم إبطال ملفات تعريف الارتباط، حتى إذا تم تغيير كلمة المرور، مع تمكين 2FA (المصادقة الثنائية)، حيث أن صلاحية ملف تعريف الارتباط هي 30 يومًا. تنتهي صلاحيتها فقط عندما يقوم المستخدم بتسجيل الخروج، أو بعد 30 يومًا.

لقد أبلغنا Atlassian بهذا الأمر وقد أقروا ويعملون على حل المشكلة.

حدد باحثو CloudSek أن هذا الخلل يمكن أن يستحوذ على مئات حسابات Jira الخاصة بالشركات. تُظهر سجلاتنا أكثر من 1,282,859 جهاز كمبيوتر مخترق و 16,201 ملف تعريف ارتباط Jira للبيع في أسواق الويب المظلمة. وفي آخر 30 يومًا فقط، تم توفير أكثر من 2937 جهاز كمبيوتر مخترق و 246 من بيانات اعتماد Jira. في الـ 90 يومًا الماضية، لاحظنا وجود جهاز كمبيوتر واحد على الأقل مخترقًا من إحدى شركات Fortune 1000. هذا فقط بالنظر إلى نطاقاتها الأساسية، وليس الشركات التابعة لها.

تقوم CloudSek بإصدار ملف أداة مجانية يتيح للشركات التحقق مما إذا كان يتم الإعلان عن أجهزة الكمبيوتر المخترقة وحسابات Jira في أسواق الويب المظلمة.

مع وجود أكثر من 10 ملايين مستخدم في 180.000 شركة، بما في ذلك 83٪ من شركات Fortune 500، يتم استخدام منتجات Atlassian على نطاق واسع في جميع أنحاء العالم. وتستغل الجهات الفاعلة في مجال التهديد هذا الخلل بنشاط لتهديد حسابات Jira الخاصة بالمؤسسة.

يمكن أن تؤدي ملفات تعريف الارتباط المسروقة من Atlassian إلى الوصول غير المصرح به إلى الحساب حتى في حالة تمكين 2FA.

يُظهر تحقيق CloudSek أن ملفات تعريف الارتباط الخاصة بمنتجات Atlassian تظل صالحة لمدة 30 يومًا، حتى في حالة تغيير كلمة المرور وتمكين 2FA. وبالتالي، يمكن للجهات الفاعلة في مجال التهديد استعادة جلسات Jira أو Confluence أو Trello أو BitBucket، باستخدام ملفات تعريف الارتباط المسروقة، حتى إذا لم يكن لديهم إمكانية الوصول إلى MFA OTP/PIN. تنتهي صلاحية ملفات تعريف الارتباط، افتراضيًا، عندما يقوم المستخدم بتسجيل الخروج، أو بعد 30 يومًا.

هذه مشكلة معروفة، ومعظم الشركات لا تعتبرها ضمن نطاق إعداد التقارير الأمنية، لأنه لاستخدام هذه المشكلة والدخول إلى الأنظمة، يلزم استخدام الرموز المميزة. هناك نقاط ضعف أخرى مثل XSS والتي يمكن استخدامها للحصول على الرموز وهي في نطاق إعداد التقارير الأمنية. ومع ذلك، فإن استخدام الهندسة الاجتماعية خارج نطاق ارتباطات Bug Bounty وفي هذه الحالة، يتطلب استغلال البرامج الضارة وإلقاء المعلومات مثل ملفات تعريف الارتباط هندسة اجتماعية.

ومع ذلك، لم يعد من الصعب جدًا على الجهات الفاعلة في مجال التهديد الحصول على هذه الرموز. مع ارتفاع حملات اختراق الأجهزة والانتهاكات وتسريب كلمات المرور، أصبحت سرقة ملفات تعريف الارتباط أمرًا شائعًا. وملفات تعريف الارتباط متاحة للبيع ويمكن للمرء ببساطة البحث عن شركة وشراء سجلاتها والعثور على الرموز ذات الصلة للوصول إلى أنظمتها الداخلية.

في حالة منتجات Atlassian، لا يلزم سوى رمز ويب JSON واحد (JWT) لاختطاف جلسة، أي رمز الجلسة السحابية. تحتوي رموز Atlassian JWT (JSON Web Token) على عنوان البريد الإلكتروني المضمن في ملف تعريف الارتباط. وبالتالي، فمن السهل تحديد المستخدم الذي ينتمي إليه ملف تعريف الارتباط.

يبدو أن هذا الخطأ تم إصلاحه الآن بواسطة Atlassian بصمت شديد بعد أن أبلغنا عنه ودون الاعتراف به.

تختلف الاستجابة لطلب تغيير كلمة المرور الذي كنت أحصل عليه في 13 ديسمبر عما أحصل عليه الآن. يرجى الرجوع إلى لقطات الشاشة المرفقة لتاريخ جناح التجشؤ الخاص بي. تحقق من عنوان «التاريخ» في الاستجابة.

الاستجابة لنقطة نهاية تغيير كلمة المرور في 13 ديسمبر

الاستجابة لنقطة نهاية تغيير كلمة المرور في 15 ديسمبر

أضاف Atlassian معلمة redirectURL في الاستجابة لتغيير طلب كلمة المرور الآن. سيؤدي ذلك إلى إبطال الجلسة الحالية وتعيين رمز جلسة جديد للمستخدم. اعتبارًا من 13 ديسمبر، لم تكن هناك مثل هذه المعلمة وعند تغيير كلمة المرور سيحصل المستخدمون على استجابة 200 OK من الخادم. يرجى الرجوع إلى لقطات الشاشة أعلاه.

يمكنك التحقق مما إذا كانت بيانات مؤسستك متاحة للبيع على أسواق الويب المظلمة: تحقق هنا

إثبات المفهوم

حصل باحثو CloudSek على بعض عمليات تفريغ ملفات السجل ووجدوا العديد من ملفات تعريف الارتباط Atlassian التي لا تزال نشطة للعديد من المؤسسات. لمعرفة المزيد حول كيفية جمع سجلات السارق وبيعها، يرجى الرجوع إلى القسم التالي.

الخطوة 1: باستخدام ملف تعريف الارتباط الذي تم الحصول عليه من سجل السارق، أرسل طلب GET إلى /الإدارة/الراحة/المستخدم تم تشغيل نقطة النهاية id.atlassian.com، سيعمل هذا الطلب على التحقق من صحة الرمز المميز. إذا قام المستخدم بتسجيل الخروج، فستحصل على استجابة «انتهت صلاحية الجلسة» من الخادم.

الخطوة 2: من أجل الحصول على المنتجات التي يمكن الوصول إليها، أرسل طلب POST إلى /البوابة/API/المنتجات التي يمكن الوصول إليها تم تشغيل نقطة النهاية id.atlassian.com.

The workspace URLs associated with the victim are available — تتوفر عناوين URL لمساحة العمل المرتبطة بالضحية

الخطوة 3: من الطلب أعلاه، ستحصل على عناوين URL لمساحة العمل. يمكنك أيضًا اختراق مساحات العمل باستخدام نفس رمز الجلسة. يرجى الاطلاع على لقطات الشاشة أدناه:

The victim’s JIRA Projects are accessible — يمكن الوصول إلى مشاريع JIRA الخاصة بالضحية

Screenshot of The Bitbucket workspace ( notice hostname in request) — لقطة شاشة لمساحة عمل Bitbucket (لاحظ اسم المضيف عند الطلب)

The victim’s Bitbucket user settings page — صفحة إعدادات مستخدم Bitbucket الخاصة بالضحية

أوراق اعتماد Atlassian/ملفات تعريف الارتباط للبيع في أسواق Darkweb

في آخر 30 يومًا، أكثر من 200 تم طرح مثيلات فريدة من بيانات اعتماد/ملفات تعريف الارتباط ذات الصلة بـ atlassian.net للبيع في أسواق الويب المظلمة. نظرًا لأن أوراق الاعتماد قد تم طرحها للبيع في آخر 30 يومًا، فمن المحتمل جدًا أن العديد منها لا يزال نشطًا.

Instances of atlassian.net credentials for sale — مثيلات بيانات اعتماد atlassian.net للبيع

من بينها، كانت ملفات تعريف الارتباط Atlassian الخاصة بموظف كبير في شركة إدارة الهوية والوصول متاحة للبيع (والتي انتهت صلاحيتها الآن):

Credentials of a large organization’s Atlassian product instance — بيانات اعتماد مثيل منتج Atlassian الخاص بمؤسسة كبيرة

تشريح ملف سجل السرقة

عادةً ما تحتوي سجلات Stealer التي يتم بيعها في أسواق الويب المظلمة على بنية المجلد التالية:

The folder structure of data in a stealer log — بنية مجلد البيانات في سجل السارق

عند تحليل الملفات الموجودة، يتم عرض البيانات بالتنسيق التالي:

Folder structure displayed after parsing — يتم عرض بنية المجلد بعد التحليل

كما هو واضح في لقطات الشاشة، فإن بعض معلومات الضحية المدرجة في سجل السارق هي:

بيانات الشركات الأخرى المتاحة على الويب المظلم

في الـ 90 يومًا الماضية، كانت أكثر من 70٪ من بيانات شركات Fortune 1000 متاحة للبيع في أسواق الويب المظلمة. هذا فقط بالنظر إلى نطاقاتها الأساسية، وليس الشركات التابعة لها.

من بين هذه الشركات، تم طرح أوراق اعتماد نقاط النهاية الداخلية المختلفة للبيع بالنسبة لـ 50٪ من الشركات. وشمل ذلك نقاط النهاية لمثيلات Jira و Gitlab و ADFS (خدمات اتحاد Active Directory) والإنترانت وVPN (الشبكة الافتراضية الخاصة) وما إلى ذلك.

Some Endpoints for which were available for sale — عدد قليل من نقاط النهاية المتاحة للبيع

Some internal endpoints available for sale — بعض نقاط النهاية الداخلية المتاحة للبيع

البرامج الضارة الأكثر شيوعًا لـ Stealer

حاليًا، أكثر برامج السرقة الضارة شيوعًا التي تجمع البيانات وتبيعها في شكل سجلات سرقة في أسواق الويب المظلمة هي:

Most common stealer malware — البرامج الضارة الأكثر شيوعًا للسرقة

معظم أنظمة التشغيل الشائعة المتأثرة

يُظهر تحليل البيانات المعلن عنها في أسواق الويب المظلمة أن الضحايا الذين يستخدمون نظام التشغيل Windows كانوا الأكثر تأثرًا بالبرامج الضارة السارقة.

Most common OS — نظام التشغيل الأكثر شيوعًا

البلدان الأكثر تضرراً

البلدان الثلاثة الأولى، التي توجد بياناتها في سجلات السارق هي الولايات المتحدة والهند والبرازيل.

Most affected countries — البلدان الأكثر تضرراً

تدابير التخفيف

يمكنك التحقق مما إذا كانت بيانات مؤسستك متاحة للبيع على أسواق الويب المظلمة: تحقق هنا

‍

سبارش كولشريستا

Sparsh هو محلل الأمن السيبراني في CloudSek.

ديبانجلي بولراج

Deepanjli هي كاتبة ومحررة المحتوى الفني الرائدة في CloudSek. إنها متلهفة بالقلم ولديها شهية لا تشبع للكتب والسودوكو ونظرية المعرفة.

مايانك ستاناليكا

مايانك هو أحد كبار مهندسي التعلم الآلي في CloudSek. في هذا الدور، يتأكد من أن جميع خدمات ML الخاصة بـ CloudSek جاهزة وتعمل.