はじめに
プロジェクト管理ツールとし有名な Jira Server の脆弱性が見つかりました。
脆弱性を含んでいるバージョンを利用しているかつ、特定の設定を有効にしている場合に、未ログインユーザでも「サーバーサイド・テンプレート・インジェクション(server-side template injection)」攻撃が可能ということで少し調べてみました。
Poc も存在しており、実際にその検証している様子もありますので、Jiraサイトをパブリックに公開している運用している場合には、バージョンの確認・設定の確認をしてみたほうがよいでしょう。
概要
脆弱性を含んでいるバージョンや影響が記載されています。
confluence.atlassian.com
脆弱性についてより詳しく
CVE-2019-11581 Atlassian Jira未授权模板注入漏洞分析
検証情報(キャプチャ画像有り)
実際に検証された方のレポートです。
フォームの入力値に含まれている curl
コマンド が実行されていることが確認できます。
github.com
PoC(検証コード)
PoC は既に公開されています。
私は下記の PoC を利用して脆弱性を確認しました。特定のリクエスト1つ送ることで攻撃できるので、攻撃が容易であることが分かります。
github.com
検証
検証パッケージ(Jira Server 7.13.4)
脆弱性を含んでいるJiraは下記のリンクから取得しました。
※ダウンロードリンク
https://product-downloads.atlassian.com/software/jira/downloads/atlassian-jira-software-7.13.4-x64.bin
Jira Server インストール手順(AWS)
攻撃可能な設定
下記いずれかの条件に当てはまる設定時に悪用可能とのことです。
条件1.
an SMTP server has been configured in Jira and the Contact Administrators Form is enabled; or
条件2.
an SMTP server has been configured in Jira and an attacker has "JIRA Administrators" access.
条件1. ⇨ 「Contact Administrators Form」は未ログインユーザでもJira管理者に対してメールを送ることができる機能であり、必須な機能ではないと思われるので OFF にしても問題ないでしょう。
条件2. ⇨ 攻撃者が「JIRA 管理者権限」を持つ必要があり、攻撃の対象なりづらいことから、緊急を要して対応する必要もないでしょうか。
対応
脆弱性への対応方法について、バージョンを上げる以外にも下記のサイトのように対応する方法あります。
confluence.atlassian.com
まとめ
「Contact Administrators Formが有効になっている」かつ「Jiraサイトがパブリックに公開されている」場合はいつ攻撃を受けてもおかしくない状態ですので、早めに対応した方がよいでしょう。
追記
警視庁によると当脆弱性のスキャンが観測されたとのことです。
https://www.npa.go.jp/cyberpolice/important/2019/201910021.htmlwww.npa.go.jp
更新履歴
- 2019年7月28日 新規作成
- 2019年10月3日 警視庁リンク追加