Un bug sur l'outil Jira permettait de récupérer les clés privées AWS de serveurs de grandes sociétés

Plusieurs géants de la technologie et de grandes entreprises ont exposé publiquement des clés privées de serveurs en raison d’une vulnérabilité dans le système de suivi de bugs de la société Atlassian : Jira. Cette faille était due à un composant vulnérable utilisé par les anciennes versions du système.

Le bug, que l’on trouve dans divers logiciels d’Atlassian comme « Jira » et « Confluence », permet à quiconque ayant accès au serveur d’obtenir facilement les clés secrètes de l’instance Amazon Web Services (AWS) sur laquelle l’application est hébergée.

Ce problème de sécurité était dû à l’utilisation d’une ancienne version du logiciel qui comportait un serveur Web vulnérable. Ce dernier pouvait être utilisé de manière abusive afin d’effectuer des attaques XSS (« Cross-Site Scripting ») ainsi que des attaques SSRF (« Server-Side Request Forgery ») qui retournent des données sensibles.

Il était donc possible de récupérer des clés d’accès à des instances Amazon, pouvant entraîner une prise de contrôle de l’instance. Un attaquant était alors en mesure de voler ou détruire les données qui s’y trouvent.

Bien que la plupart des systèmes aient été mis à jour, de nombreuses entreprises utilisent encore les anciennes versions du logiciel, souvent hébergées sur un sous-domaine ou une adresse publiquement accessible. Robert Wiggins, chercheur en sécurité, a trouvé plus d’une douzaine d’entreprises majeures qui utilisent des versions Jira et Confluence obsolètes et vulnérables.

Des sites du gouvernement américain étaient également concernés par cette vulnérabilité, ils ont cependant mis à jour le système après avoir été avertis par le journal ZDNet.

Référence

https://www.zdnet.com/article/jira-bug-exposed-private-server-keys-at-major-companies-researcher-finds/