謹防軟體供應鏈攻擊!軟體設計管理平臺Atlassian中嚴重的Jira缺陷可能導致RCE

Atlassian已針對其Jira資料中心和Jira服務管理資料中心產品多個版本中的一個嚴重漏洞釋出了補丁，該漏洞可能導致任意程式碼執行。

Atlassian是一個被 180,000名客戶用來設計軟體和管理專案的平臺，而Jira是其專有的缺陷跟蹤和敏捷專案管理工具。

前幾天，Atlassian的釋出了一個安全諮詢有關的漏洞，被跟蹤的CVE-2020-36239。該漏洞可能使未經身份驗證的遠端攻擊者能夠在某些Jira資料中心產品中執行任意程式碼。

漏洞產生原因

該漏洞與Jira的Ehcache實現中缺少身份驗證檢查有關，Ehcache是一種開源Java分散式快取，用於通用快取、Java EE和輕量級容器，用於提高效能並簡化可擴充套件性。

Atlassian表示，該漏洞是在Jira Data Center、Jira Core Data Center、Jira Software Data Center 和 Jira Service Management Data Center(在 4.14 之前稱為 Jira Service Desk)的 6.3.0 版本中引入的。

根據 Atlassian 的安全公告，該產品列表公開了一個Ehcache遠端方法呼叫 (RMI) 網路服務，攻擊者可以使用該服務在埠40001和潛在的40011上連線到該服務，由於缺少身份驗證，透過反序列化可以“在Jira 中執行他們選擇的任意程式碼”。

RMI是一種API，作為一種機制，允許用Java編寫的程式之間進行遠端通訊。它允許駐留在一個Java虛擬機器 (JVM) 中的物件呼叫在另一個JVM上執行的物件;通常，它涉及伺服器上的一個程式和客戶端上的一個程式。

RMI的優勢在於“程式設計師可以呼叫遠端物件中存在的方法——比如執行在共享網路上的應用程式中的方法，就像執行本地方法或過程一樣。”

RMI的工作原理。資料來源：維基百科。

受影響的版本

以下是Jira資料中心和Jira服務管理資料中心的受影響版本：

Atlassian公告稱，下載並安裝任何受影響版本的客戶“必須立即升級他們的安裝以修復此漏洞。” 話雖如此，Atlassian 還指出，“關鍵”評級是它自己的評估，客戶“應該評估其對您自己的IT環境的適用性。”

不受影響的版本

Atlassian雲

吉拉雲

Jira 服務管理雲

Jira Server(核心和軟體)和Jira服務管理的非資料中心例項

Jira Data Center產品使用者應升級到以下版本以消除此漏洞，具體取決於他們所在的版本情況：

Jira Data Center、Jira Core Data Center 和 Jira Software Data Center 使用者：升級到 8.5.16、8.13.8 或 8.17.0。

Jira 服務管理資料中心使用者：升級到 4.5.16、4.13.8 或 4.17.0。

對於那些無法升級其例項的人，Atlassian在安全公告中提供瞭解決方法。

Atlassian建議客戶升級到最新版本的產品，並限制對Ehcache RMI埠的訪問。

Ehcache RMI埠40001和40011應使用防火牆或類似技術進行遮蔽，以便只有Jira Data Center、Jira Core Data Center、Jira Software Data Center和Jira Service Management Data Center的叢集例項可以訪問這些。

“雖然Atlassian強烈建議限制對Ehcache埠的訪問僅限於資料中心例項，但Jira的固定版本現在需要共享金鑰才能訪問Ehcache服務，”Atlassian 在安全公告中表示。

Atlassian 是攻擊者貓薄荷

很多使用Atlassian產品的使用者均為開發成熟的大企業。在Jira超過65,000名使用者中擁有一些大粉絲，包括Apache軟體基金會、思科、Fedora Commons、Hibernate、輝瑞和Visa等公司。

不幸的是，它的受歡迎程度及其功能使其成為攻擊者的誘人目標。

今年6月，研究人員發現了可能導致一鍵接管的Atlassian 漏洞：這種情況讓人想起與SolarWinds供應鏈攻擊類似的漏洞利用潛力，在這種情況下，攻擊者使用預設密碼作為開啟軟體更新機制的大門。

摩根預測，CVE-2020-36239可以被遠端利用以實現任意程式碼執行，並且可能會引起網路犯罪分子和與民族國家相關的參與者的極大興趣，他指出了最近的幾次供應鏈攻擊，包括針對軟體供應商Accellion和Kaseya 的攻擊，這些攻擊利用漏洞獲得初始訪問許可權並破壞“已知被不同客戶群使用”的軟體版本。

謹防供應鏈攻擊

儘管目前發現此漏洞，但真正的影響取決於RMI API的公開程度。這可能導致針對開發人員進行有針對性的惡意活動。而更應該注意的是，從技術角度來看，這種漏洞為供應鏈攻擊提供了很好的途徑，這也要求安全團隊必須有效監控和管理這些軟體應用。

尤其隨著軟體開發過程中存在更多的依賴項，中科天齊提醒，在使用時對依賴項的任何更新都應該在使用前進行審查，並且系統應該使用版本鎖定的依賴項來防止CI/CD系統預設獲取最新的更新。

除此之外，對於軟體開發公司自身所完成的軟體程式碼及框架也應及時進行安全漏洞檢測，以減少自己編寫過程中出現的程式碼缺陷及第三方開原始碼庫中出現的漏洞，在發現問題時可以第一時間進行定位改正及修補，避免造成重大損失和影響。