1. #1
    Avatar von DMW007
    Registriert seit
    15.11.2011
    Beiträge
    6.081
    Thanked 9.118 Times in 2.995 Posts
    Blog Entries
    5

    Standard Sicherheitslücken bei Atlassian analysiert: Wie unsicher sind Jira, Confluence, Bitbucket & co?

    Atlassian hat sich vor allem in der IT einen Namen gemacht: Softwareprodukte wie Jira und Confluence gelten als Marktführer in ihrem jeweiligen Gebiet. Mittlerweile werden die Werkzeuge auch zunehmend in anderen Bereichen eingesetzt. Seit einigen Monaten steht der Konzern jedoch immer wieder mit Sicherheitslücken in den Schlagzeilen. Oft sind es schwerwiegende Fehler, die es Angreifern ermöglichen, Code auf dem Server auszuführen - etwa für Kryptomining und teils auch schlimmeres. Ich beobachte die Lage seit einigen Monaten und habe diesen Trend analysiert: Entwickelt Atlassian unsichere Software oder was läuft bei diesem Konzern schief? Alle Infos mit Quellen findet ihr in diesem Beitrag.





  2. #2
    Avatar von U-Labs YouTube
    Registriert seit
    30.09.2021
    Beiträge
    1.341
    Thanked 31 Times in 29 Posts

    Standard AW: Sicherheitslücken bei Atlassian analysiert: Wie unsicher sind Jira, Confluence, Bitbucket & co?

    Eine Datenbank die man nicht braucht sollte eigentlich keine Lücke sein, da muss man schon extrem schludern um das hinzubekommen. Ich behaupte das jetzt mal so obwohl ich das System nicht kenne. Was Du sonst beschreibst ist Haarsträubend und grenzt an Kundenverarschung, das findet leider immer statt wenn dem Vertrieb mehr Beachtung als dem Produkt selbst zukommt.

    Kommentar von Andre ABC.

    - - - Aktualisiert - - -

    Fehler, die vor sich hergetragen werden und zugunsten von neuen Features nicht behoben werden, gibt es leider durchgängig. Dies ist hoffentlich ein extremer Einzelfall.

    Microsoft mit dem Exchange Server ist vermutlich ein ähnlicher Fall, da die Update Prozedur scheinbar so eigenwillig ist und auch nicht verändert wird, dass viele Administratoren scheinbar gar keine Updates einspielen, was vor ein oder zwei Jahren zu dem "kleinen Problem" geführt hat, dass Administratoren lange aufgeschobene Updates nun doch durchführen mussten, damit vermutlich auch ein Risiko für die Installation oder sogar die Daten riskiert haben, um das allerletzte Update mit dem Patch einspielen zu können. Bei der Marktmacht von Microsoft ist das vermutlich relevanter.

    Kommentar von wolfgang gosejacob.

  3. #3
    Avatar von DMW007
    Registriert seit
    15.11.2011
    Beiträge
    6.081
    Thanked 9.118 Times in 2.995 Posts
    Blog Entries
    5

    Standard AW: Sicherheitslücken bei Atlassian analysiert: Wie unsicher sind Jira, Confluence, Bitbucket & co?

    Bei Sicherheitslücken hat das halt schon noch mal eine andere Brisanz. Das Problem mit dem langsamen Einspielen von Updates wird an mehreren Dingen liegen: Schadsoftware tut erst seit ein paar Jahren mit Ransomware und Konsorten so richtig und großflächig weh. Auf der anderen Seite ist gerade bei Microsoft die Qualität der Updates vor allem in den Anfangszeiten von Windows 10 mehr als Unterirdisch gewesen. Da kam es durchaus vor, dass Systeme nach dem Patchen gar nicht mehr gestartet haben. Oder sie hatten mal einen Fehler drin, der private Daten löscht, wenn der Nutzer die Pfade der Bibliotheken auf einen anderen Datenträger (z.B. Festplatte auf D oder einer anderen Partition geändert hatte. Mittlerweile ist es nicht mehr ganz so katastrophal. Aber es kommt immer noch öfter vor, dass bestimmte Dinge kaputt gepatcht werden. Ein aktuelles Dauerthema sind z.B. Drucker, die seit ungefähr zwei Jahren nach Windows Updates immer wieder fehlerhaft oder gar nicht mehr funktionieren.

    Windows Administratoren haben dadurch also gelernt, vor Updates Angst zu haben. Du willst nicht zig wütende Nutzer haben, bei denen danach was nicht mehr geht, zu denen sich dann auch schnell ein wütender Chef gesellt. Also überlegen die sich zweimal, ob sie Updates ausrollen. Dazu haben sich Prozesse etabliert, die neue Updates erst mal ausführlich testen. Dadurch werden die locker ein paar Wochen verzögert ausgerollt. Wenn der Admin dann noch überlastet ist, werden schnell einige Monate daraus. Vor allem wenn sie glauben, dass ihr Unternehmen ja eh uninteressant für Angreifer sei. Sozusagen die "Ich habe nichts zu Verbergen" Fraktion an der Stelle. Bei steigenden Angriffen ist das keine gute Kombination.

    Zuletzt hat Microsoft sich aber selbst bei denen die Updates schnell einspielen wollen ziemlich blamiert: Im September wurde eine Sicherheitslücke in Exchange bekannt. Man konnte aus der Ferne Code ausführen, also auch ein Totalschaden. MS hatte keinen Fix, im Blog wurde ein Workaround mit eine IIS ReWrite-Regel gezeigt. Die sollte verwundbare URLs zumindest von außen nicht mehr erreichbar machen. Dummerweise stellte sich heraus, dass diese Regel fehlerhaft war und der Angriff mit leichten Modifikationen dennoch funktionierte. Und das nicht nur einmal, die haben ihre IIS Regel mehrfach nachgebessert. Insgesamt etwa 4 mal, ich habe irgendwann aufgehört mitzuzählen. Vor einigen Tagen kam dann ein Update zum Patchday, dass die Schwachstelle korrigiert. Das war eine Aktion, die Atlassian in nichts nachsteht und bei der ich ebenfalls hinterfrage, wie man so was für teuer Geld kauft, um da kritische Unternehmensdaten anzulegen sowie als Einfallstor zu dienen, um ggf. das gesamte Unternehmensnetz zu kompromittieren. Mit solchem Verhalten trägt MS weit mehr zum Problem bei, als zu dessen Lösung.


  4. #4
    Avatar von DMW007
    Registriert seit
    15.11.2011
    Beiträge
    6.081
    Thanked 9.118 Times in 2.995 Posts
    Blog Entries
    5

    Standard AW: Sicherheitslücken bei Atlassian analysiert: Wie unsicher sind Jira, Confluence, Bitbucket & co?

    Mit Cloudflare & Atlassian hat sich ein Dreamteam gefunden: Erst schreibt Cloudflare über ihren "Sicherheitsvorfall" zum Erntedankfest 2023: Dort hat jemand ihre Atlassian Data-Center Systeme (Confluence, Jira & Bitbucket) gehackt. Nicht über die üblichen Atlassian-Sicherheitsmängel, vor denen alle paar Wochen gewarnt wird. Sondern wegen Okta: Die haben sich Ende 2023 hacken lassen. Als Identitätsanbieter in der Cloud, der Zugänge regelt, ist das natürlich der Super-GAU. Vergleichbar damit, wenn ein Angreifer das MS AD kontrolliert. Cloudflare hielt es für eine gute Idee, ihre selbst betriebenen Atlassian-Systeme von Okta in der Cloud authentifizieren zu lassen. Nach dem Angriff konnten die Hacker sich dort also selbst rechte geben. Durch den Hack ist Cloudflare aus dem Winterschlaf aufgewacht und hat ihre gesamten Zugangsdaten geändert. Das vor Monaten zu tun, nach dem Okta als kompromittiert galt, wäre das Mindeste gewesen. Sogar nach veralteten Softwarepaketen und ungenutzten Mitarbeiterkonten haben sie gesucht! Damit ist nun klar, wie schlecht es um den Laden wirklich steht, wenn man sich nach einem Angriff mit so was brüstet. Kommt offensichtlich nicht von ungefähr, warum die gerne mal als Clownflare verspottet werden.

    Aber nun das Beste: Atlassian schreibt einen Forumsbeitrag, in dem sie über Cloudflares Hack berichten. Und weisen gleich im zweiten Satz darauf hin:
    This was not because of any vulnerability in Atlassian software but rather was caused by a threat actor using Cloudflare’s access token that was part of Okta’s October 2023 breach.
    Nicht dass jemand denkt, es wäre die üblich fragwürdige Softwarequalität von Atlassian durch vergessene Backdoor-Konten, Drittanbieter-Bibliotheken die man Ewigkeiten später erst aktualisiert & co, die mal wieder jemanden ins offene Messer laufen lassen. Man muss die Gelegenheit schon nutzen, wenn man die Schuld zur Abwechslung mal auf jemanden anders schieben kann


Ähnliche Themen

  1. Antworten: 3
    Letzter Beitrag: 29.01.2022, 00:56
  2. BND will Sicherheitslücken kaufen
    Von DMW007 im Forum IT & Technik News
    Antworten: 16
    Letzter Beitrag: 06.05.2020, 21:11
  3. Whatsapp - Sicherheitslücken
    Von Hawkeye815 im Forum Windows Mobile
    Antworten: 7
    Letzter Beitrag: 12.11.2013, 20:34
  4. Firefox Plugin unsicher - Anzeige ausschalten?
    Von ElkosMED im Forum Software
    Antworten: 1
    Letzter Beitrag: 30.01.2013, 18:55
  5. If Typ 2 unsicher
    Von Xin Zhao im Forum Bildung
    Antworten: 0
    Letzter Beitrag: 17.06.2012, 23:55
Diese Seite nutzt Cookies, um das Nutzererlebnis zu verbessern. Klicken Sie hier, um das Cookie-Tracking zu deaktivieren.