Jira-bug legt netwerken van meer dan een dozijn grote bedrijven bloot

Abonneer je gratis op Techzine!

De Jira-bug heeft private server keys blootgelegd van grote bedrijven. Een groot televisienetwerk, een Britse telecomaanbieder en een Amerikaans overheidsagentschap bevinden zich onder de getroffen bedrijven. De bug bevindt zich in veelgebruikte ontwikkelingssoftware en stelt hackers ertoe in staat zich een weg tot zakelijke netwerken te verschaffen.

De bug bevindt zich in software van Atlassian, waaronder Jira en Confluence, en maakt het relatief eenvoudig om toegangssleutels tot de Amazon Web Services (AWS) pagina te verkrijgen, waar de software op gehost wordt. Doordat de software een kwetsbare proxy bevat, kan deze misbruikt worden om cross-site scripting (XSS) aanvallen uit te voeren. Dat geldt ook voor server-side request forgery (SSRF) aanvallen, waarmee gevoelige data uit interne netwerken opgevraagd kan worden.

Legacy software

Een aanvaller kan een SSRF-aanval gebruiken tegen de kwetsbare proxy om AWS-metadata – waaronder geheime toegangscodes – te bemachtigen. Dat bleek vorig jaar al uit een bugrapportage rond deze problemen. Aanvallers zouden de instantie kunnen overnemen, data kunnen stelen en vernietigen.

Alle problemen zijn ondertussen opgelost binnen de Atlassian-producten, maar niet alle bedrijven hebben de nieuwe versies al op hun servers staan. Veiligheidsonderzoeker Robert Wiggins stelt dat er meer dan een dozijn grote bedrijven zijn die nog verouderde Jira en Confluence-producten draaien.

Getroffen bedrijven

De site ZDNet weet te melden welke bedrijven allemaal getroffen zijn door het lek. In het Verenigd Koninkrijk betreft het EE, de grootste telecomaanbieder van het land. Dat bedrijf gebruikte verouderde Jira-software, maar heeft de problemen ondertussen opgelost. Dat geldt ook voor managementplatform Insider, dat ook de problemen heeft opgelost.

Andere bedrijven en overheden met problemen zijn Easy Metrics (een softwarefirma), een onderdeel van het Amerikaanse ministerie van gezondheidszorg, IEEE en Ronin. Ook A&E Networks, een Amerikaanse mediagigant, bleek een kwetsbare server te hebben. Dan zijn er nog drie andere bedrijven, waaronder een sportagentschap en kledingverkoper, die getroffen zijn maar hun problemen nog niet opgelost hebben.