Atlassian安全漏洞可能允许一键接管商业应用程序帐户

Atlassian进行调查，以确定其被全球 180,000 名客户使用的平台是否会成为类似供应链攻击的受害者。对于那些不熟悉的人，Jira 是一个软件开发工具，包括 Visa、Cisco 和 Pfizer 在内的超过 65k 客户使用，Confluence 是包括 LinkedIn、NASA 和纽约时报在内的 60k 客户使用的团队工作区，Bitbucket 是基于 Git 的源代码存储库托管服务。攻击者可能会在供应链攻击中使用所有这些产品来攻击Atlassian 的合作伙伴和客户。

CPR 产品和漏洞研究负责人 Oded Vanunu 在一份声明中解释了为什么该公司的安全研究人员决定首先调查 Atlassian 的平台，他说：

“自 SolarWinds 事件以来，供应链攻击一整年都引起了我们的兴趣。Atlassian 的平台是组织工作流程的核心。大量的供应链信息流经这些应用程序以及工程和项目管理。因此，我们开始问一个有点挑衅的问题：如果恶意用户访问 Jira 或 Confluence 帐户，他们会获得哪些信息?我们的好奇心让我们回顾了 Atlassian 的平台，在那里我们发现了安全漏洞。在分布式劳动力越来越依赖远程技术的世界中，必须确保这些技术对恶意数据提取具有最佳防御能力。我们希望我们的最新研究能够帮助组织提高对供应链攻击的认识。”

Atlassian 平台中的安全漏洞可能使攻击者能够执行跨站点脚本 ( XSS ) 攻击、跨站点请求伪造 ( CSRF ) 攻击和会话固定攻击。只需单击一下，攻击者就可以接管受害者的 Atlassian 帐户、代表他们执行操作、访问 Jira 票证、编辑公司的 Confluence 维基或在 GetSupport 查看票证。

CPR 在 1 月初负责任地向 Atlassian 披露了它发现的安全漏洞，该公司于 5 月 18 日为其部署了修复程序。

　　免责声明：本文由用户上传，与本网站立场无关。财经信息仅供读者参考，并不构成投资建议。投资者据此操作，风险自担。 如有侵权请联系删除！