Falha de segurança em produtos Atlassian (Jira, Confluence, Trello, BitBucket) que afeta várias empresas

22 de dezembro: a Atlassian reconheceu o problema e corrigiu o mesmo. Em 15 de dezembro, com base em nossa pesquisa, eles simplificaram a invalidação de tokens por autoatendimento após uma alteração de senha para usuários da nuvem: Leia o agradecimento

Em 6 de dezembro de 2022, CloudSEK divulgou um ataque cibernético direcionado à empresa. Durante uma investigação sobre a causa raiz do incidente, a equipe interna de investigação identificou que o agente da ameaça obteve acesso à conta Jira de um funcionário da CloudSEK usando cookies de sessão do Jira presentes nos registros de ladrões vendidos na darkweb.

Após uma investigação mais aprofundada, descobriu-se que, para os produtos Atlassian (Jira, Confluence e BitBucket), os cookies não são invalidados, mesmo se a senha for alterada, com a autenticação de dois fatores ativada, pois a validade do cookie é de 30 dias. Eles só expiram quando o usuário se desconecta ou após 30 dias.

Informamos a Atlassian sobre isso e eles reconheceram e estão trabalhando para resolver o problema.

Pesquisadores da CloudSEK identificaram que essa falha pode assumir o controle das contas Jira de centenas de empresas. Nossos registros mostram mais de 1.282.859 computadores comprometidos e 16.201 cookies Jira à venda em mercados da dark web. E apenas nos últimos 30 dias, mais de 2.937 computadores comprometidos e 246 credenciais do Jira foram disponibilizadas. Nos últimos 90 dias, observamos pelo menos um computador comprometido de uma empresa da Fortune 1000. Isso é apenas considerar seus domínios primários, não suas subsidiárias.

O CloudSEK está lançando um ferramenta gratuita que permite que as empresas verifiquem se seus computadores e contas do Jira comprometidos estão sendo anunciados em mercados da dark web.

Com mais de 10 milhões de usuários em 180.000 empresas, incluindo 83% das empresas da Fortune 500, os produtos Atlassian são amplamente usados em todo o mundo. E os agentes de ameaças estão explorando ativamente essa falha para comprometer as contas corporativas do Jira.

Cookies roubados da Atlassian podem levar ao acesso não autorizado à conta, mesmo se o 2FA estiver ativado.

A investigação da CloudSek mostra que os cookies dos produtos Atlassian permanecem válidos por um período de 30 dias, mesmo que a senha seja alterada e o 2FA esteja ativado. Portanto, os agentes de ameaças podem restaurar as sessões do Jira, Confluence, Trello ou BitBucket usando cookies roubados, mesmo que não tenham acesso ao MFA OTP/PIN. Os cookies, por padrão, expiram quando o usuário se desconecta ou após 30 dias.

Esse é um problema conhecido e a maioria das empresas não o considera dentro do escopo dos relatórios de segurança, pois para usá-lo e entrar nos sistemas, são necessários tokens. Existem outras vulnerabilidades, como o XSS, que podem ser usadas para obter tokens e estão no escopo de relatórios de segurança. No entanto, o uso da engenharia social está fora do escopo dos engajamentos do Bug Bounty e, nesse caso, explorar o malware e despejar informações como cookies requer engenharia social.

No entanto, não é mais muito difícil para os agentes de ameaças colocar as mãos nesses tokens. Com o aumento das campanhas de comprometimento de dispositivos, violações e vazamentos de senhas, o roubo de cookies se tornou comum. E os cookies estão disponíveis para venda e é possível simplesmente pesquisar uma empresa, comprar seus registros, encontrar tokens relevantes para obter acesso aos seus sistemas internos.

No caso dos produtos Atlassian, é necessário apenas um token web JSON (JWT) para sequestrar uma sessão, ou seja, nuvem.session.token. Os tokens Atlassian JWT (JSON Web Token) têm o endereço de e-mail incorporado no cookie. Portanto, é fácil determinar a qual usuário o cookie pertence.

Parece que esse bug foi corrigido agora pela Atlassian de forma muito silenciosa depois que o relatamos e sem reconhecê-lo.

A resposta para a solicitação de alteração de senha que recebi em 13 de dezembro é diferente da que estou recebendo agora. Consulte as capturas de tela em anexo do meu histórico do Burp Suite. Verifique o cabeçalho “Data” na resposta.

Resposta do endpoint de alteração de senha em 15 de dezembro

A Atlassian adicionou um parâmetro redirectURL na resposta para alterar a solicitação de senha agora. Isso invalidará a sessão atual e atribuirá um novo token de sessão ao usuário. Em 13 de dezembro, esse parâmetro não existia e, ao alterar a senha, os usuários receberão apenas uma resposta de 200 OK do servidor. Consulte as capturas de tela acima.

Você pode verificar se os dados da sua organização estão disponíveis para VENDA nos mercados da Dark Web: Confira aqui

Prova de conceito

Os pesquisadores do CloudSEK obtiveram alguns despejos de arquivos de log e encontraram vários cookies da Atlassian que ainda estão ativos em várias empresas. Para saber mais sobre como os registros de ladrões são coletados e vendidos, consulte o próxima seção.

Etapa 1: Usando um cookie obtido de um registro do ladrão, envie uma solicitação GET para o /manage/rest/user ponto final ligado id.atlassian.com, Essa solicitação validará o token. Se o usuário estiver desconectado, você receberá uma resposta de “sessão expirada” do servidor.

Etapa 2: Para obter os produtos acessíveis, envie uma solicitação POST para o /gateway/api/produtos acessíveis ponto final ligado id.atlassian.com.

Etapa 3: A partir da solicitação acima, você receberá os URLs do espaço de trabalho. Você pode comprometer ainda mais os espaços de trabalho usando o mesmo token de sessão. Veja as capturas de tela abaixo:

Credenciais/cookies da Atlassian à venda nos mercados da Darkweb

Nos últimos 30 dias, mais de 200 instâncias exclusivas de credenciais/cookies relacionados à atlassian.net foram colocadas à venda em mercados da dark web. Como as credenciais foram colocadas à venda nos últimos 30 dias, é muito provável que muitas delas ainda estejam ativas.

Entre eles, os cookies Atlassian de um funcionário de uma grande empresa de gerenciamento de identidade e acesso estavam disponíveis para venda (que agora estão expirados):

A anatomia de um arquivo Stealer-Log

Os registros do Stealer vendidos em mercados da dark web geralmente têm a seguinte estrutura de pastas:

Ao analisar os arquivos presentes, os dados são exibidos no seguinte formato:

Conforme visível nas capturas de tela, algumas das informações da vítima incluídas no registro do ladrão são:

Dados de outras empresas disponíveis na Dark Web

Nos últimos 90 dias, mais de 70% dos dados das empresas da Fortune 1000 estavam disponíveis para venda em mercados da dark web. Isso é apenas considerar seus domínios primários, não suas subsidiárias.

Dessas, para 50% das empresas, as credenciais de vários endpoints internos foram colocadas à venda. Isso incluía endpoints para suas instâncias de Jira, Gitlab, ADFS (Serviços de Federação do Active Directory), intranet, VPN (Rede Privada Virtual) etc.

Malware ladrão mais comum

Atualmente, os malwares ladrões mais comuns que coletam e vendem dados na forma de registros de ladrões em mercados da dark web são:

Sistemas operacionais mais comuns afetados

A análise dos dados anunciados em mercados da dark web mostra que as vítimas que usavam o sistema operacional Windows eram mais comumente afetadas por malwares ladrões.

Países mais afetados

Os três principais países cujos dados estão presentes nos registros de ladrões são EUA, Índia e Brasil.

Medidas de mitigação

Você pode verificar se os dados da sua organização estão disponíveis para VENDA nos mercados da Dark Web: Confira aqui

‍