Atlassian hat einen Sicherheitshinweis veröffentlicht, der vor einer kritischen Schwachstelle in der Jira-Software warnt, die von einem entfernten, nicht authentifizierten Angreifer dazu missbraucht werden könnte, den Authentifizierungsschutz zu umgehen.
Die Schwachstelle mit der Bezeichnung CVE-2022-0540 wird im CVSS-Scoring-System mit 9,9 von 10 Punkten bewertet und befindet sich im Authentifizierungs-Framework von Jira, Jira Seraph. Khoadha von Viettel Cyber Security wurde für die Entdeckung und Meldung der Sicherheitslücke verantwortlich gemacht.
„Ein entfernter, nicht authentifizierter Angreifer könnte dies ausnutzen, indem er eine speziell gestaltete HTTP-Anfrage sendet, um die Authentifizierungs- und Autorisierungsanforderungen in WebWork-Aktionen mit einer betroffenen Konfiguration zu umgehen“, so Atlassian.
Die Schwachstelle betrifft die folgenden Jira-Produkte –
Jira Core Server, Jira Software Server und Jira Software Data Center: Alle Versionen vor 8.13.18, 8.14.x, 8.15.x, 8.16.x, 8.17.x, 8.18.x, 8.19.x, 8.20.x vor 8.20.6, und 8.21.x
Jira Service Management Server und Jira Service Management Data Center: Alle Versionen vor 4.13.18, 4.14.x, 4.15.x, 4.16.x, 4.17.x, 4.18.x, 4.19.x, 4.20.x vor 4.20.6, und 4.21.x
Die korrigierten Versionen von Jira und Jira Service Management sind 8.13.18, 8.20.6 und 8.22.0 sowie 4.13.18, 4.20.6 und 4.22.0.
Atlassian wies außerdem darauf hin, dass die Schwachstelle Erst- und Drittanbieter-Apps nur dann betrifft, wenn sie in einer der oben genannten Jira- oder Jira Service Management-Versionen installiert sind und eine anfällige Konfiguration verwenden.
Den Nutzern wird dringend empfohlen, auf eine der gepatchten Versionen zu aktualisieren, um potenzielle Ausnutzungsversuche zu vermindern. Wenn ein sofortiges Patching nicht möglich ist, rät das Unternehmen, die betroffenen Apps auf eine korrigierte Version zu aktualisieren oder sie ganz zu deaktivieren.
Es ist erwähnenswert, dass eine kritische Schwachstelle in Atlassian Confluence (CVE-2021-26084, CVSS-Score: 9.8) im vergangenen Jahr aktiv ausgenutzt wurde, um Kryptowährungs-Miner auf kompromittierten Servern zu installieren.