Wie Software-Anbieter Atlassian vermeldete, gibt es eine Sicherheitslücke in dem Produkt Jira Service Management. Unbefugte können sich damit als legitime Nutzer:innen ausgeben, sofern sie die Anmelde-URL haben. Ein Patch wurde bereits veröffentlicht. Die cloudbasierte Variante des Produkts ist aber nicht betroffen.
Anmelde-Token für neue Nutzer:innen als Angriffseinstieg
Es müssen mehrere Voraussetzungen erfüllt sein, damit eine Attacke erfolgreich ist: Zunächst muss eine Person Zugriff auf das Anmelde-Token von legitimen Jira-Nutzer:innen haben. Diese Nutzer:innen müssen bereits im System angelegt sein, dürfen aber noch nicht aktiviert worden sein. Diese Token werden teilweise per Mail versendet.
Wird das Token abgefangen, kann das Jira-Konto geklaut und aktiviert werden. Damit erhalten Angreifer:innen Zugriff auf die Jira-Instanz. Nur wenn die Instanz über das Internet erreichbar ist oder sich Eindringlinge im selben Netzwerk wie der Jira-Server befinden, funktioniert der Angriff.
Laut Atlassian ist dieses Szenario bei Bot-Konten wahrscheinlicher erfüllt als bei anderen Kontentypen. Bei Jira-Instanzen, die erlauben, dass alle Konten erstellen können, sind auch Externe wie freie Mitarbeitende oder Kund:innen angreifbar.
CVSS-Punktzahl: 9,4 von 10 – dringender Handlungsbedarf
Im Atlassian-Post wird die Sicherheitslücke als „kritisch“ eingestuft. Sie wird unter der CVE-ID CVE-2023-22501 gelistet. Für die Schwere der Lücke benutzt Atlassian das Common Vulnerability Scoring System (CVSS) – mit einer Punktzahl von 9,4 von 10 Punkten besteht dringender Handlungsbedarf für Adminstrator:innen. Betroffen sind die Versionen 5.3.0, 5.3.1, 5.3.2, 5.4.0, 5.4.1 und 5.5.0.
Die Lösung: Die Anwendungen müssen ein Update auf die Versionen 5.3.3, 5.4.2, 5.5.1 oder 5.6.0 und alle folgenden erhalten. Im Download-Center ist die neueste Version verfügbar. Ist ein Update der gesamten Software aktuell nicht möglich, sollte zumindest die JAR-Datei servicedesk-variable-substitution-plugin manuell als temporärer Fix geupdatet werden. Die entsprechenden JAR-Dateien für die jeweiligen Versionen hat Atlassian mit einer Anleitung im Post gelistet.
Seitens Atlassian gibt es keine Auskunft, welche Instanzen betroffen sind und welche nicht. In den Atlassian-FAQ zur Sicherheitslücke ist eine Anleitung aufgeführt, anhand welcher Administrator:innen ihre Instanz prüfen können.
Bitte beachte unsere Community-Richtlinien
Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.
Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.
Dein t3n-Team