Atlassian waarschuwt voor kritiek lek in Jira Service Management

Atlassian waarschuwt voor een kritieke kwetsbaarheid in Jira. Het beveiligingsprobleem kan aanvallers schrijfrechten gegeven in Jira Service Management. Een patch is beschikbaar die het probleem verhelpt.

Het gaat om een kwetsbaarheid die is geïdentificeerd als CVE-2023-22501. Het gaat om een ernstig lek, dat met een 9,4 als kritiek is beoordeeld. Het gaat om een authentificatiekwetsbaarheid in Jira Service Management Server en Data Center. Aanvallers kunnen zich hiermee voordoen als een andere gebruiker en zo toegang verkrijgen tot een Jira Service Management-instance.

Ondertekende tokens onderscheppen

Indien op de getroffen instance uitgaande mail is ingesteld, kan een aanvaller het lek gebruiken om toegang te verkrijgen tot ondertekende tokens die worden verstuurd naar gebruikers met een account waarop zij nooit hebben ingelogd. Hiervoor hebben aanvallers echter wel een specifieke Jira-gebruikerslink nodig. Hiervoor ziet Atlassian twee scenario's:

• De aanvaller beschikt over een gebruikersaccount dat betrokken is bij een Jira-issue
• De aanvaller weet toegang te verkrijgen tot een e-mail met een View Request van een Jira-gebruiker.

Met name bot-accounts zijn kwetsbaar voor dit scenario, waarschuwt Atlassian.

Alleen on-premises implementaties zijn kwetsbaar

Het probleem doet zich alleen voor bij on-premises implementaties, en niet bij Atlassian Cloud. Atlassian adviseert beheerders de update zo snel mogelijk te installeren. Ook benadrukt het bedrijf het belang van updaten indien een implementatie niet via internet benaderbaar is. Wel meldt Atlassian dat het risico bij dergelijke implementaties aanzienlijk kleiner is.

Versies 5.3.0, 5.3.1, 5.3.2, 5.4.0, 5.4.1 en 5.5.0 van Jira zijn kwetsbaar. Het probleem is verholpen in versies 5.3.3, 5.4.2, 5.5.1 en 5.6.0. van de software. Meer informatie is hier beschikbaar.