CVE-2022-26135 Atlassian Jira Mobile Plugin SSRF漏洞分析

admin
admin
admin
0
文章
0
评论
2022-08-16 12:00:07 AnQuanKeINFO 来源:ZONE.CI 全球网 0 阅读模式

 

漏洞描述

6月29日,Atlassian官方发布安全公告,在Atlassian Jira 多款产品中存在服务端请求伪造漏洞(SSRF),经过身份验证的远程攻击者可通过向Jira Core REST API发送特制请求,从而伪造服务端发起请求,从而导致敏感信息泄露,同时为下一步攻击利用提供条件。需注意的是,若服务端开启注册功能,则未授权用户可通过注册获取权限进而利用。

利用范围

Jira Core Server, Jira Software Server, and Jira Software Data Center:

  1. Versions after 8.0 and before 8.13.22
  2. 8.14.x
  3. 8.15.x
  4. 8.16.x
  5. 8.17.x
  6. 8.18.x
  7. 8.19.x
  8. 8.20.x before 8.20.10
  9. 8.21.x
  10. 8.22.x before 8.22.4

Jira Service Management Server and Data Center:

  1. Versions after 4.0 and before 4.13.22
  2. 4.14.x
  3. 4.15.x
  4. 4.16.x
  5. 4.17.x
  6. 4.18.x
  7. 4.19.x
  8. 4.20.x before 4.20.10
  9. 4.21.x
  10. 4.22.x before 4.22.4

 

漏洞分析

环境搭建

使用docker搭建,在docker仓库(https://hub.docker.com/r/weareogury/atlassian-jira-software/tags)中可找到漏洞版本的Jira Software Server镜像。

按步骤进行配置即可。

环境搭建成功

代码分析

分析Jira Mobile 插件,在com.atlassian.jira.plugin.mobile.rest.v1_0.BatchResource中存在barch API接口,阅读代码,该API应该是用于接收多个请求并在服务端执行。

分析下方的executeBatch函数。

在如图所示代码,实际负责发送HTTP请求。其中batchService接口的实现类BatchServiceImpl位于com.atlassian.jira.plugin.mobile.service.impl.BatchServiceImpl.class

分析batch函数。

根据如上代码,定位execute函数。

其中relativeLocation来自于requestBean.getLocation中的location。

后续传入toJiraLocation函数

继续跟进,位于com.atlassian.jira.plugin.mobile.util.LinkBuilder.class

URL通过简单的拼接构造,而其中的path来自于location,完全可控。

继续回到execute函数。

location会从json对象中获取,在获取到URL对象后,再调用httpClientProvider发送Http请求。

因为URL的后半部分是可控的,如果我们简单指定location为@xx.com,那么最终的URL为https://[email protected],httpClientProvider实际上会对xx.com发送http请求,所以导致了SSRF漏洞产生。

 

漏洞复现

使用burpsuite自带的dnslog功能进行探测,成功发送请求。

 

修复建议

1. 将受影响的产品升级到最新安全版本:

Jira Core Server、Jira Software Server 和 Jira Software Data Center 可升级至:

  1. 8.13.22
  2. 8.20.10
  3. 8.22.4
  4. 9.0.0

Jira Service Management Server 和 Data Center 可升级至:

  1. 4.13.22
  2. 4.20.10
  3. 4.22.4
  4. 5.0.0

2. 缓解措施

(1) 关闭用户注册功能。

(2) 禁用Mobile Plugin,具体步骤如下:

a、在应用程序的顶部导航栏中,选择设置 -> 管理加载项或管理应用程序。

b、找到Mobile Plugin for Jira Data Center and Server应用程序,然后选择禁用即可。

(3) 升级Mobile Plugin至最新版本。

 

参考材料

https://confluence.atlassian.com/jira/jira-server-security-advisory-29nd-june-2022-1142430667.HTML

weinxin
特别声明
本站(ZONE.CI)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
咨询加Q:999999999
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 安全领域涉猎者-乌云独行地带
红蓝对抗-安装包钓鱼与反钓鱼 AnQuanKeINFO

红蓝对抗-安装包钓鱼与反钓鱼

前言文件钓鱼是红蓝对抗中红队经常使用的攻击手段,相反蓝队也可以通过反钓鱼的手段来对红队进行反制,获取分值。 红队钓鱼利用随着邮件沙箱,恶意行为检测等技术的发展,传统文件钓鱼攻击难度
08-150 评论
获取本源码
售前咨询加Q:120433200
站媒体网仿《知更鸟》模板
获取本源码 zmt6.com
评论:0   参与:  0