Vulnerabilidad crítica en Jira afecta implementaciones en la nube

Palo Alto Networks reporta una vulnerabilidad crítica del lado del servidor (Server-Side Request Forgery) en Jira en la version anterior a 8.4.0, un producto de seguimiento de versiones de Atlassian. De ser explotada, podría exponer los datos almacenados de los usuarios. La vulnerabilidad está siendo rastreada como CVE-2019-8451 y se recomienda actualizar a la brevedad.

Server-Side Request Forgery (SSRF) es una vulnerabilidad de aplicación web que redirige las solicitudes del atacante a la red interna o host local detrás del firewall. SSRF representa una amenaza particular para los servicios en la nube debido al uso de la API de metadatos que permite a las aplicaciones acceder a la información subyacente de la infraestructura de la nube, como configuraciones, registros y credenciales. Aunque la API de metadatos solo se puede acceder localmente, la vulnerabilidad SSRF la hace accesible desde Internet.

Para ser precisos, se trata de una vulnerabilidad de falsificación de solicitudes del lado del servidor cuya explotación está relacionada con una aplicación web de redirección de solicitudes del atacante a una red interna.

Al explotar esta falla un atacante podría usar una aplicación para acceder a información subyacente en la estructura de la implementación en la nube (registros, credenciales de acceso, configuraciones, etc). A pesar de que la API de metadatos es sólo accesible de forma local, esta falla funciona como una puerta de acceso a este recurso desde Internet, además de que los atacantes pueden esquivar el entorno de sandbox al ejecutarla.

Los investigadores descubrieron que al menos 7 mil implementaciones de Jira se encuentran expuestas en Internet; además, se reporta que cerca del 45% de las implementaciones expuestas son vulnerables a esta falla crítica, mientras que el 56% de los más de 3 mil hosts vulnerables están filtrando metadatos de la infraestructura de la nube.

Entre las implementaciones con mayor índice de filtración de datos por esta vulnerabilidad se encuentran:

• Digital Ocean (93%)
• Google Cloud (80%)
• Alibaba (70%)
• Amazon Web Services (68%)

Acorde a los expertos, Microsoft Azure tiene un índice de exposición de datos de 0% puesto que esta implementación bloquea las solicitudes del lado del servidor falsas de la API de metadatos por defecto. Al parecer esta vulnerabilidad es realmente similar a la que fue explotada en el ataque a las redes de Capital One Financial Corporation hace unos meses, incidente que derivó en el robo de más de 100 millones de registros almacenados por la compañía.

Esta variante de ataque es realmente seria, pues permite el reconocimiento de redes internas, la explotación de fallas de canal lateral e incluso la ejecución remota de código. En su reporte, los expertos mencionan que la información confidencial, como credenciales o arquitectura de las redes, podría estar expuesta, comprometiendo a su vez los servicios internos.

Una recomendación para los administradores de sistemas incluyen la integración de una lista blanca de dominios, el establecimiento de principios de red de confianza cero, uso de firewall para aplicaciones web y la instalación de los parches de seguridad correspondientes.

Fuente: PaloAlto