Wie Software-Anbieter Atlassian vermeldete, gibt es eine Sicherheitslücke in dem Produkt Jira Service Management. Unbefugte können sich damit als legitime Nutzer:innen ausgeben, sofern sie die Anmelde-URL haben. Ein Patch wurde bereits veröffentlicht. Die cloudbasierte Variante des Produkts ist aber nicht betroffen.
Anmelde-Token für neue Nutzer:innen als Angriffseinstieg
Es müssen mehrere Voraussetzungen erfüllt sein, damit eine Attacke erfolgreich ist: Zunächst muss eine Person Zugriff auf das Anmelde-Token von legitimen Jira-Nutzer:innen haben. Diese Nutzer:innen müssen bereits im System angelegt sein, dürfen aber noch nicht aktiviert worden sein. Diese Token werden teilweise per Mail versendet.
Wird das Token abgefangen, kann das Jira-Konto geklaut und aktiviert werden. Damit erhalten Angreifer:innen Zugriff auf die Jira-Instanz. Nur wenn die Instanz über das Internet erreichbar ist oder sich Eindringlinge im selben Netzwerk wie der Jira-Server befinden, funktioniert der Angriff.
Laut Atlassian ist dieses Szenario bei Bot-Konten wahrscheinlicher erfüllt als bei anderen Kontentypen. Bei Jira-Instanzen, die erlauben, dass alle Konten erstellen können, sind auch Externe wie freie Mitarbeitende oder Kund:innen angreifbar.
CVSS-Punktzahl: 9,4 von 10 – dringender Handlungsbedarf
Im Atlassian-Post wird die Sicherheitslücke als „kritisch“ eingestuft. Sie wird unter der CVE-ID CVE-2023-22501 gelistet. Für die Schwere der Lücke benutzt Atlassian das Common Vulnerability Scoring System (CVSS) – mit einer Punktzahl von 9,4 von 10 Punkten besteht dringender Handlungsbedarf für Adminstrator:innen. Betroffen sind die Versionen 5.3.0, 5.3.1, 5.3.2, 5.4.0, 5.4.1 und 5.5.0.
Die Lösung: Die Anwendungen müssen ein Update auf die Versionen 5.3.3, 5.4.2, 5.5.1 oder 5.6.0 und alle folgenden erhalten. Im Download-Center ist die neueste Version verfügbar. Ist ein Update der gesamten Software aktuell nicht möglich, sollte zumindest die JAR-Datei servicedesk-variable-substitution-plugin manuell als temporärer Fix geupdatet werden. Die entsprechenden JAR-Dateien für die jeweiligen Versionen hat Atlassian mit einer Anleitung im Post gelistet.
Seitens Atlassian gibt es keine Auskunft, welche Instanzen betroffen sind und welche nicht. In den Atlassian-FAQ zur Sicherheitslücke ist eine Anleitung aufgeführt, anhand welcher Administrator:innen ihre Instanz prüfen können.
