Atlassian kwetsbaar voor per ongeluk ontdekte zeroday

De Confluence-software van agile-specialist Atlassian is kwetsbaar voor een zeroday-lek dat een beveiligingsspecialist per ongeluk meteen met Twitter deelde. Het bedrijf werkt aan een oplossing.

Wanneer een gebruiker van Confluence een bijlage lokaal wil bewerken via de app, dan maakt die app verbinding met https://atlassian-domain-for-localhost-connections-only.com. Die link resolved in naar de localhost voor een verbinding tussen Confluence en de companion app. Het bijhorende SSL-certificaat zit ingebakken en kan zo misbruikt worden. Een aanvaller kan de SSL-sleutel van het bijhorende certificaat gebruiken om een man in the middle-aanval uit te voeren. 

Gemakkelijkheidsoplossing

Twitteraar SwiftOnSecurity deelde het probleem per ongeluk wanneer hij in een tweet wilde lachen met de uitgebreide domeinnaam die Atlassian gebruikt. Een andere gebruiker maakte hem erop attent dat de ingewerkte private SSL-sleutel waarop de verbinding vertrouwt, de ontdekking in essentie een zeroday-lek maakt. De praktijk waarbij een publiek domein verkeer naar de localhost stuurt is een gemakkelijkheidsoplossing om een dergelijke verbinding (theoretisch) beveiligd tot stand te brengen. In de praktijk werkt het systeem alleen maar als de private sleutel gekend is bij de gebruikers, en dus misbruikt kan worden.

Een aanvaller die zich tussen de gebruiker en het net kan plaatsen, kan verkeer gericht naar de uitgebreide url probleemloos onderscheppen en zelfs aanpassen zonder dat het slachtoffer daar weet van heeft. Intussen werkt Atlassian aan een oplossing voor het probleem en wordt het relevante certificaat ingetrokken.

IBM

Atlassian is niet alleen. IBM gebruikt een gelijkaardige techniek voor zijn Aspera-plugin. Die verbindt met de localhost via Local.connectme.us. Het certificaat daarvoor is eveneens ingetrokken en IBM laat aan The Register weten dat het systeem alleen nog gebruikt wordt voor achterwaartse compatibiliteit met oudere Aspera-versies.