Ernstig lek in Confluence dienst Atlassian per ongeluk openbaar gemaakt

05-12-2019 | door: Wouter Hoeffnagel

Ernstig lek in Confluence dienst Atlassian per ongeluk openbaar gemaakt

Een zero-day kwetsbaarheid in de Confluence clouddienst van Atlassian is per ongeluk door een beveiligingsonderzoeker op Twitter openbaar gemaakt. Atlassian zoekt nog naar een oplossing.

SwiftOnSecurity meldde op Twitter dat Atlassian voor Confluence bij iedere klant gebruik maakt van hetzelfde SSL-certificaat. Dit betekent in de praktijk dat kwaadwillenden die over de juiste technische kennis beschikken dit certificaat kunnen misbruiken om een man-in-the-middle aanval uit te voeren en dataverkeer door te sturen naar een malafide server. De data komt in dit geval in handen van de aanvaller. In een reactie op de tweet van SwiftOnSecurity bevestigt Tavis Ormandy, een beveiligingsonderzoeker van Google, de mogelijkheid de SSL-sleutel te misbruiken.

Atlassian werkt aan een oplossing

Een woordvoerder van Atlassian bevestigt tegenover CRN op de hoogte te zijn van het beveiligingsprobleem en aan een oplossing te werken. "We hebben verzocht het certificaat in te trekken en onderzoeken of andere technische oplossingen nodig zijn om onze klanten te beschermen", aldus de woordvoerder.

In een reactie op de tweets geeft een andere beveiligingsonderzoeker aan dat ook IBM's Aspera plugin client gebruik maakt van een vergelijkbare opzet. In een reactie hierop stelt Ormandy dat dit lek mogelijk veel ernstiger is dan die in Atlassian's Confluence.

Terug naar nieuws overzicht

Tags

Security
Security