[06/02/2023] Esta semana se ha corregido una vulnerabilidad crítica en Jira Service Management Server, una popular plataforma de gestión de servicios de TI para empresas, que podría permitir a los atacantes hacerse pasar por usuarios y acceder a los tokens de acceso. Si el sistema está configurado para permitir el registro público, los clientes externos también pueden verse afectados.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
La falla se introdujo en Jira Service Management Server and Data Center 5.3.0, por lo que están afectadas las versiones 5.3.0 a 5.3.1 y 5.4.0 a 5.5.0. Atlassian ha publicado versiones corregidas del software, pero también ha proporcionado una solución que implica la actualización de un único archivo JAR en las implementaciones afectadas. Las instancias de Atlassian Cloud no son vulnerables.
Autenticación de Jira rota
Atlassian describe la vulnerabilidad, rastreada como CVE-2023-22501, como un problema de autenticación rota y la califica como de gravedad crítica según su propia escala de gravedad.
"Con acceso de escritura a un directorio de usuarios y correo electrónico saliente habilitado en una instancia de gestión de servicios de Jira, un atacante podría obtener acceso a los tokens de registro enviados a los usuarios con cuentas en las que nunca se ha iniciado sesión", explicó la compañía en su aviso. "El acceso a estos tokens puede obtenerse en dos casos: Si el atacante se incluye en las incidencias o solicitudes de Jira con estos usuarios, o si el atacante es reenviado o de otra manera obtiene acceso a correos electrónicos que contienen un enlace "Ver solicitud" de estos usuarios".
Las cuentas de bots que se crearon para trabajar con Jira Service Management son particularmente susceptibles a este escenario, advirtió la compañía. Incluso si la falla no afecta a los usuarios sincronizados a través de directorios de usuario de sólo lectura o SSO, los usuarios que interactúan con la instancia a través de correo electrónico todavía se ven afectados incluso cuando SSO está habilitado.
Jira Service Management puede utilizarse para configurar y gestionar un centro de servicios que unifique los servicios de asistencia de diferentes departamentos, como TI, RRHH, Finanzas o Atención al Cliente, permitiendo a los equipos trabajar mejor en tareas compartidas. También permite a las empresas gestionar activos, realizar inventarios, hacer un seguimiento de la propiedad y el ciclo de vida, los equipos de TI pueden gestionar la configuración de la infraestructura y hacer un seguimiento de las dependencias de los servicios, y pueden crear bases de conocimientos para el autoservicio. Dadas las numerosas funciones que admite la plataforma y las tareas para las que puede utilizarse en un entorno corporativo, la probabilidad de que un gran número de empleados, contratistas y clientes tengan cuentas en ella es alta, así como la posibilidad de que se produzcan abusos.
Mitigación de vulnerabilidades en Jira Service Management
La empresa hace hincapié en que las empresas que no expongan públicamente Jira Service Management deberían actualizar a una versión corregida lo antes posible. Si no pueden actualizar todo el sistema, deben descargar el JAR del plugin servicedesk-variable-substitution-plugin corregido para su versión concreta, detener Jira, copiar el archivo en el directorio <Jira_Home>/plugins/installed-plugins, y volver a iniciar Jira.
Una vez instalado el JAR corregido o la versión corregida, las empresas pueden buscar en la base de datos usuarios con la propiedad com.jsm.usertokendeletetask.completed establecida en "TRUE", ya que se ha instalado la versión vulnerable. Estos son los usuarios que podrían haber sido afectados, por lo que el siguiente paso es verificar que tienen las direcciones de correo electrónico correctas. Los usuarios internos deben tener el dominio de correo electrónico correcto y los usuarios registrados públicamente deben tener sus nombres de usuario idénticos a su dirección de correo electrónico.
A continuación, se debe forzar un restablecimiento de contraseña para todos los usuarios potencialmente afectados, lo que implica el envío de un correo electrónico de confirmación, por lo que es imprescindible que sus direcciones de correo electrónico sean correctas. La API de JIRA se puede utilizar para forzar el restablecimiento de contraseñas, incluyendo la expiración de las sesiones activas y el cierre de sesión de los posibles atacantes.
"Si se determina que su instancia de Jira Service Management Server/DC ha sido comprometida, nuestro consejo es apagar y desconectar inmediatamente el servidor de la red/internet", anotó la compañía en un documento de preguntas frecuentes que acompaña al aviso. "Además, es posible que desee apagar inmediatamente cualquier otro sistema que potencialmente comparten una base de usuarios o tienen nombre de usuario común / combinaciones de contraseña con el sistema comprometido. Antes de hacer cualquier otra cosa, deberá trabajar con su equipo de seguridad local para identificar el alcance de la brecha y sus opciones de recuperación".
Basado en el artículo de Lucian Constantin (CSO) y editado por CIO Perú