Ernstig lek in Confluence dienst Atlassian per ongeluk openbaar gemaakt
Een zero-day kwetsbaarheid in de Confluence clouddienst van Atlassian is per ongeluk door een beveiligingsonderzoeker op Twitter openbaar gemaakt. Atlassian zoekt nog naar een oplossing.
SwiftOnSecurity meldde op Twitter dat Atlassian voor Confluence bij iedere klant gebruik maakt van hetzelfde SSL-certificaat. Dit betekent in de praktijk dat kwaadwillenden die over de juiste technische kennis beschikken dit certificaat kunnen misbruiken om een man-in-the-middle aanval uit te voeren en dataverkeer door te sturen naar een malafide server. De data komt in dit geval in handen van de aanvaller. In een reactie op de tweet van SwiftOnSecurity bevestigt Tavis Ormandy, een beveiligingsonderzoeker van Google, de mogelijkheid de SSL-sleutel te misbruiken.
Yep, you can just grab the private key, and nothing is stopping you resolving this domain to something other than localhost. Therefore, no guarantee that you're talking to a trusted local service and not an attacker.
— Tavis Ormandy (@taviso) December 4, 2019
Atlassian werkt aan een oplossing
Een woordvoerder van Atlassian bevestigt tegenover CRN op de hoogte te zijn van het beveiligingsprobleem en aan een oplossing te werken. "We hebben verzocht het certificaat in te trekken en onderzoeken of andere technische oplossingen nodig zijn om onze klanten te beschermen", aldus de woordvoerder.
In een reactie op de tweets geeft een andere beveiligingsonderzoeker aan dat ook IBM's Aspera plugin client gebruik maakt van een vergelijkbare opzet. In een reactie hierop stelt Ormandy dat dit lek mogelijk veel ernstiger is dan die in Atlassian's Confluence.
I just took a look, Umm.. that could be way, way worse. There's a pre-generated CA certificate and a private key, if they add that to the system store, they're effectively disabling SSL. I would consider that *critical*.
— Tavis Ormandy (@taviso) December 4, 2019