Thema: Sicherheitslücken bei Atlassian analysiert: Wie unsicher sind Jira, Confluence, Bitbucket & co?
-
18.11.2022, 21:30 #1
- Registriert seit
- 15.11.2011
- Beiträge
- 6.081
- Blog Entries
- 5
Thanked 9.119 Times in 2.996 PostsSicherheitslücken bei Atlassian analysiert: Wie unsicher sind Jira, Confluence, Bitbucket & co?
Atlassian hat sich vor allem in der IT einen Namen gemacht: Softwareprodukte wie Jira und Confluence gelten als Marktführer in ihrem jeweiligen Gebiet. Mittlerweile werden die Werkzeuge auch zunehmend in anderen Bereichen eingesetzt. Seit einigen Monaten steht der Konzern jedoch immer wieder mit Sicherheitslücken in den Schlagzeilen. Oft sind es schwerwiegende Fehler, die es Angreifern ermöglichen, Code auf dem Server auszuführen - etwa für Kryptomining und teils auch schlimmeres. Ich beobachte die Lage seit einigen Monaten und habe diesen Trend analysiert: Entwickelt Atlassian unsichere Software oder was läuft bei diesem Konzern schief? Alle Infos mit Quellen findet ihr in diesem Beitrag.
-
20.11.2022, 23:06 #2
- Registriert seit
- 30.09.2021
- Beiträge
- 1.341
Thanked 31 Times in 29 PostsAW: Sicherheitslücken bei Atlassian analysiert: Wie unsicher sind Jira, Confluence, Bitbucket & co?
Eine Datenbank die man nicht braucht sollte eigentlich keine Lücke sein, da muss man schon extrem schludern um das hinzubekommen. Ich behaupte das jetzt mal so obwohl ich das System nicht kenne. Was Du sonst beschreibst ist Haarsträubend und grenzt an Kundenverarschung, das findet leider immer statt wenn dem Vertrieb mehr Beachtung als dem Produkt selbst zukommt.
Kommentar von Andre ABC.
- - - Aktualisiert - - -
Fehler, die vor sich hergetragen werden und zugunsten von neuen Features nicht behoben werden, gibt es leider durchgängig. Dies ist hoffentlich ein extremer Einzelfall.
Microsoft mit dem Exchange Server ist vermutlich ein ähnlicher Fall, da die Update Prozedur scheinbar so eigenwillig ist und auch nicht verändert wird, dass viele Administratoren scheinbar gar keine Updates einspielen, was vor ein oder zwei Jahren zu dem "kleinen Problem" geführt hat, dass Administratoren lange aufgeschobene Updates nun doch durchführen mussten, damit vermutlich auch ein Risiko für die Installation oder sogar die Daten riskiert haben, um das allerletzte Update mit dem Patch einspielen zu können. Bei der Marktmacht von Microsoft ist das vermutlich relevanter.
Kommentar von wolfgang gosejacob.
-
21.11.2022, 01:13 #3
- Registriert seit
- 15.11.2011
- Beiträge
- 6.081
- Blog Entries
- 5
Thanked 9.119 Times in 2.996 PostsAW: Sicherheitslücken bei Atlassian analysiert: Wie unsicher sind Jira, Confluence, Bitbucket & co?
Bei Sicherheitslücken hat das halt schon noch mal eine andere Brisanz. Das Problem mit dem langsamen Einspielen von Updates wird an mehreren Dingen liegen: Schadsoftware tut erst seit ein paar Jahren mit Ransomware und Konsorten so richtig und großflächig weh. Auf der anderen Seite ist gerade bei Microsoft die Qualität der Updates vor allem in den Anfangszeiten von Windows 10 mehr als Unterirdisch gewesen. Da kam es durchaus vor, dass Systeme nach dem Patchen gar nicht mehr gestartet haben. Oder sie hatten mal einen Fehler drin, der private Daten löscht, wenn der Nutzer die Pfade der Bibliotheken auf einen anderen Datenträger (z.B. Festplatte auf D oder einer anderen Partition geändert hatte. Mittlerweile ist es nicht mehr ganz so katastrophal. Aber es kommt immer noch öfter vor, dass bestimmte Dinge kaputt gepatcht werden. Ein aktuelles Dauerthema sind z.B. Drucker, die seit ungefähr zwei Jahren nach Windows Updates immer wieder fehlerhaft oder gar nicht mehr funktionieren.
Windows Administratoren haben dadurch also gelernt, vor Updates Angst zu haben. Du willst nicht zig wütende Nutzer haben, bei denen danach was nicht mehr geht, zu denen sich dann auch schnell ein wütender Chef gesellt. Also überlegen die sich zweimal, ob sie Updates ausrollen. Dazu haben sich Prozesse etabliert, die neue Updates erst mal ausführlich testen. Dadurch werden die locker ein paar Wochen verzögert ausgerollt. Wenn der Admin dann noch überlastet ist, werden schnell einige Monate daraus. Vor allem wenn sie glauben, dass ihr Unternehmen ja eh uninteressant für Angreifer sei. Sozusagen die "Ich habe nichts zu Verbergen" Fraktion an der Stelle. Bei steigenden Angriffen ist das keine gute Kombination.
Zuletzt hat Microsoft sich aber selbst bei denen die Updates schnell einspielen wollen ziemlich blamiert: Im September wurde eine Sicherheitslücke in Exchange bekannt. Man konnte aus der Ferne Code ausführen, also auch ein Totalschaden. MS hatte keinen Fix, im Blog wurde ein Workaround mit eine IIS ReWrite-Regel gezeigt. Die sollte verwundbare URLs zumindest von außen nicht mehr erreichbar machen. Dummerweise stellte sich heraus, dass diese Regel fehlerhaft war und der Angriff mit leichten Modifikationen dennoch funktionierte. Und das nicht nur einmal, die haben ihre IIS Regel mehrfach nachgebessert. Insgesamt etwa 4 mal, ich habe irgendwann aufgehört mitzuzählen. Vor einigen Tagen kam dann ein Update zum Patchday, dass die Schwachstelle korrigiert. Das war eine Aktion, die Atlassian in nichts nachsteht und bei der ich ebenfalls hinterfrage, wie man so was für teuer Geld kauft, um da kritische Unternehmensdaten anzulegen sowie als Einfallstor zu dienen, um ggf. das gesamte Unternehmensnetz zu kompromittieren. Mit solchem Verhalten trägt MS weit mehr zum Problem bei, als zu dessen Lösung.
-
06.02.2024, 21:32 #4
- Registriert seit
- 15.11.2011
- Beiträge
- 6.081
- Blog Entries
- 5
Thanked 9.119 Times in 2.996 PostsAW: Sicherheitslücken bei Atlassian analysiert: Wie unsicher sind Jira, Confluence, Bitbucket & co?
Mit Cloudflare & Atlassian hat sich ein Dreamteam gefunden: Erst schreibt Cloudflare über ihren "Sicherheitsvorfall" zum Erntedankfest 2023: Dort hat jemand ihre Atlassian Data-Center Systeme (Confluence, Jira & Bitbucket) gehackt. Nicht über die üblichen Atlassian-Sicherheitsmängel, vor denen alle paar Wochen gewarnt wird. Sondern wegen Okta: Die haben sich Ende 2023 hacken lassen. Als Identitätsanbieter in der Cloud, der Zugänge regelt, ist das natürlich der Super-GAU. Vergleichbar damit, wenn ein Angreifer das MS AD kontrolliert. Cloudflare hielt es für eine gute Idee, ihre selbst betriebenen Atlassian-Systeme von Okta in der Cloud authentifizieren zu lassen. Nach dem Angriff konnten die Hacker sich dort also selbst rechte geben. Durch den Hack ist Cloudflare aus dem Winterschlaf aufgewacht und hat ihre gesamten Zugangsdaten geändert. Das vor Monaten zu tun, nach dem Okta als kompromittiert galt, wäre das Mindeste gewesen. Sogar nach veralteten Softwarepaketen und ungenutzten Mitarbeiterkonten haben sie gesucht! Damit ist nun klar, wie schlecht es um den Laden wirklich steht, wenn man sich nach einem Angriff mit so was brüstet. Kommt offensichtlich nicht von ungefähr, warum die gerne mal als Clownflare verspottet werden.
Aber nun das Beste: Atlassian schreibt einen Forumsbeitrag, in dem sie über Cloudflares Hack berichten. Und weisen gleich im zweiten Satz darauf hin:
This was not because of any vulnerability in Atlassian software but rather was caused by a threat actor using Cloudflare’s access token that was part of Okta’s October 2023 breach.
Ähnliche Themen
-
"Jeder" kann in Gruppen einladen - Angriffe und Spam durch heimliche WhatsApp-Änderung? Kettenbrief analysiert
Von DMW007 im Forum MobilgeräteAntworten: 3Letzter Beitrag: 29.01.2022, 00:56 -
BND will Sicherheitslücken kaufen
Von DMW007 im Forum IT & Technik NewsAntworten: 16Letzter Beitrag: 06.05.2020, 21:11 -
Whatsapp - Sicherheitslücken
Von Hawkeye815 im Forum Windows MobileAntworten: 7Letzter Beitrag: 12.11.2013, 20:34 -
Firefox Plugin unsicher - Anzeige ausschalten?
Von ElkosMED im Forum SoftwareAntworten: 1Letzter Beitrag: 30.01.2013, 18:55 -
If Typ 2 unsicher
Von Xin Zhao im Forum BildungAntworten: 0Letzter Beitrag: 17.06.2012, 23:55
Diese Seite nutzt Cookies, um das Nutzererlebnis zu verbessern. Klicken Sie hier, um das Cookie-Tracking zu deaktivieren.