Atlassian 域名被曝一次点击账户接管漏洞 可导致供应链攻击
聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士
专栏·供应链安全
数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。
随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。
为此,我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯,分析供应链安全风险,提供缓解建议,为供应链安全保驾护航。
注:以往发布的部分供应链安全相关内容,请见文末“推荐阅读”部分。
Atlassian 子域名中的 XSS、CSRF和一次点击账户接管漏洞已修复。
本周四,Check Point Research (CPR) 表示,这些 bug 存在于Atlassian的在线域名中,而这些域名应用于全球数千名企业客户。Atlassian 公司提供的工具包括Jira 和 Confluence。漏洞存在于大量由 Atlassian 维护的网站中,而非本地或云 Atlassian 产品中。
Atlassian.com 下的子域名包括合作伙伴、开发者、支持、Jira、Confluence 和 training.atlassian.com 均易受账户接管漏洞影响。
易遭供应链攻击
CPR 解释称,利用子域名中漏洞的利用代码可通过诱骗受害者点击恶意链接的方式部署。之后 payload 被以受害者的身份发送,用户会话被盗。
研究人员表示,通过跨站点脚本和跨站请求伪造攻击很可能接管由这些子域名访问的账户。另外,一旦用户登陆账户,易受攻击的域名还使威胁行动者攻陷客户端和 web 服务器之间的会话。研究人员指出,“只需一次点击,攻击者就能利用这些缺陷接管账户并控制其中一些 Atlassian 的应用程序,包括 Jira 和 Confluence 在内。”这些攻击包括账户劫持、数据盗取、以用户身份执行的操作以及获取对 Jira 工单的访问权限。在公开漏洞前,研究员已在1月8日将问题告知 Atlassian,后者在5月18日部署了修复方案。
Atlassian 公司表示,“据调查,这些漏洞仅影响由 Atlassian 所有的 web 应用程序以及一个第三方培训平台。Atlassian 已发布补丁解决这些漏洞且 Atlassian Cloud(如 Jira 或 Confluence Cloud)或非本地产品(如 Jira Server 或 Confluence Server)均未受影响。”
鉴于最近发生的供应链攻击问题,CPR 开展了对 Atlassian 产品的研究。在供应链攻击中,威胁行动者将攻击其它企业使用的集中式资源。如该元素遭攻陷,如在 Codecov 事件中篡改将被推送到客户端的更新代码,则不费太多力气即可攻击将大量潜在受害者。SolarWinds 事件也很好地证实了供应链攻击带来的巨大破坏。约1.8万名 SolarWinds 客户收到恶意 SolarWinds Orion 软件更新,将后门植入其系统中;然而,攻击者精心挑选了少数受害者实施进一步攻陷,如微软、火眼以及很多联邦机构。
推荐阅读
Linux 应用市场易受RCE和供应链攻击,多个0day未修复
详解ThroughTek P2P 供应链漏洞对数百万物联网设备的安全新风险
给开发者的9个安全建议:既能保护供应链安全,也不会拖慢开发进程
在线阅读版:《2021中国软件供应链安全分析报告》全文
原文链接
https://www.zdnet.com/article/one-click-account-takeover-vulnerability-in-atlassian-patched/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
Atlassian 域名被曝一次点击账户接管漏洞 可导致供应链攻击相关推荐
- 速度更新!GoCD又曝仨洞,极易遭利用且结合利用可成供应链攻击的新跳板
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人",已经成为支撑社会正常运转的最基本元素之一,软件的安全 ...
- 思科bfd静态路由切换_思科路由器曝出两个严重零日漏洞,已被野外利用
点击蓝字关注我们 思科在上周末警告说,其运营商级路由器上运行的Cisco IOS XR软件中存在两个严重的内存耗尽拒绝服务(DoS)漏洞,攻击者正在试图利用中. 关于漏洞 思科的IOS XR网络操作系 ...
- ERP 平台Sage X3被曝多个严重漏洞,系统可遭接管,存在潜在供应链风险
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人",已经成为支撑社会正常运转的最基本元素之一,软件 ...
- PyPI 仓库被曝多个 typosquatting 库,可触发供应链攻击
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士 八款下载量超过8万次的 Python 程序包因包含恶意代码而被 PyPI 门户删除,再次说明了软件包仓库如何成为供应链攻击的流行目标. 上 ...
- 速修复!Netgear交换机曝3个严重的认证绕过漏洞
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 昵称为 "Gynvael Coldwind" 的波兰安全研究员在网件中找到并报告了网件交换机中的三个严重漏洞 Demon's ...
- 知名文件传输协议 SCP 被曝存在 35 年历史的安全漏洞
基于 SSH 的文件传输协议 SCP(Secure Copy Protocol)被曝存在安全漏洞. 安全研究人员公布了 SCP 存在的多个漏洞,这些漏洞可以结合起来利用,分别为 CVE-2018-20 ...
- 关于listView的item失去焦点不能点击 Item中包含Button 导致抢占焦点
今天发现一个问题.listView的item点击以后进入到下一个页面,下个页面有个返回按钮,直接返回回去以后点击事件不能触发,滑动或者重新打开这个listView,就可以达到原来的效果.后来发现是因为 ...
- 断电,软件崩溃,系统中毒,未点击保存,就关闭导致资料丢失,以word文件文件为例,如何找回
突然断电?软件崩溃?系统中毒电脑突然关掉?手颤抖点击不保存就关闭,导致资料丢失?几小时甚至几天几个月的资料瞬间丢失?怎么破?这里教你破!很简单,不需要其他恢复软件,就可以完整恢复你的word文件. 工 ...
- 开源软件 Nagios 曝11个漏洞,可使IT 基础设施遭接管引发供应链攻击
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人",已经成为支撑社会正常运转的最基本元素之一,软件的安全 ...
最新文章
- Java集合干货——ArrayList源码分析
- cmd orcal 中文乱码
- [体感游戏]关于体感游戏的一些思考(三) --- 射击
- 用 Spring Boot 纯手工打造私人云网盘!!!
- BugkuCTF-Misc:telnet
- 思科网络CCNA的学习笔记-关于IP和子网的计算
- 16999元!华为Mate X 5G折叠屏手机正式发布:不愧是限量款
- 从键盘读取数据,回车才能显示的问题
- 开源方案搭建可离线的精美矢量切片地图服务-6.Mapbox之.pbf字体库
- 二、CSS基础(1)
- 动态合并Repeater控件数据列
- table多行表头合并 vue_vue elementUI table 自定义表头和行合并的实例代码
- php wordpress乱码,PHP問題:基于WordPress的CMS网站在文章摘要末尾出现乱码
- 战神z7完美linux,不黑不吹 战神Z7游戏本的质量真的差么?
- linux gprs模块 sim800a 芯片 ppp拨号上网
- visio增加连接点
- 量子十问之二:“爱因斯坦幽灵”能用来实现超光速通信吗?
- 洛谷 P5708 三角形面积 C语言
- 一文读懂ICO、IFO、IMO、IEO的区别,或许是全网最全科普
- ThinkPHP的车辆租赁管理系统