Atlassian hat in seiner Jira-Variante "Service Management" eine kritische Sicherheitslücke entdeckt. Durch einen Fehler in den Authentifizierungsmechanismen können Unbefugte mit Zugriff auf Anmelde-URLs sich als legitimer Nutzer ausgeben.

Jira: Sicherheitslücke kritisch, aber unter bestimmten Voraussetzungen ausnutzbar

Wie Atlassian in einer Sicherheitsmeldung erläutert, müssen mehrere Bedingungen erfüllt sein, um eine erfolgreiche Attacke durchführen zu können. So muss der Angreifer zunächst an das Anmelde-Token eines Jira-Nutzers gelangen, der zwar im System angelegt, jedoch noch nicht aktiviert wurde. Dieses Token wird unter Umständen als Teil von Tickets per E-Mail verschickt, um Servicemitarbeitern die Arbeit mit Jira zu erleichtern.

Mit einem solchen Token kann der Eindringling dann das geklaute Nutzerkonto aktivieren und erlangt Zugriff auf die Jira-Instanz. Damit der Angriff funktioniert, muss diese über das Internet erreichbar sein oder der Angreifer sich im selben Netzwerk wie der Jira-Server befinden.

Dieses Angriffsszenario, so Atlassian, sei bei Bot-Konten wahrscheinlicher als bei anderen Kontentypen. In Instanzen, die die Erstellung von Konten für jedermann erlauben, seien jedoch unter Umständen auch Kunden und andere Externe angreifbar. Die Sicherheitslücke stuft der Hersteller selbst als "kritisch" ein und katalogisiert sie unter der CVE-ID CVE-2023-22501. Die CVSS-Punktzahl ist 9.4 von 10, Admins sollten also umgehend reagieren.

Betroffene Versionen

Verwundbar sind lediglich die on-Premise-Fassungen von "Jira Service Management - Server" und "Jira Service Management – Data Center", nicht jedoch die cloudbasierte Variante, die Atlassian ebenfalls anbietet. Systemverwalter, die eine der verwundbaren Versionen 5.3.0 - 5.3.2, 5.4.0 - 5.4.1 oder 5.5.0 verwenden, sollten übergangsweise den von Atlassian angebotenen Patch einspielen und dann baldmöglichst ihre Instanz auf die Version 5.3.3, 5.4.2, 5.5.1 oder eine Version ab 5.6.0 aktualisieren.

Vor rund einem halben Jahr warnte Atlassian ebenfalls vor einer Sicherheitslücke in Jira. Da war es bösartigen Akteuren aufgrund einer Schwachstelle im Mobile Plug-in für Jira unter anderem möglich, Zugangsdaten auszuspähen.

(dmk)