Belgische onderzoeker ontdekt kwetsbaarheid bij honderden Jira Service Desks

Het snelle en verplichte thuiswerk als gevolg van de corona-pandemie heeft ervoor gezorgd dat heel wat bedrijven servicedesks inzetten voor intern gebruik. De portalen staan echter vaak foutief geconfigureerd en publiek, waardoor een aanvaller ze kan misbruiken.

Een veelvoorkomende misconfiguratie van de Jira Service Desks van Atlassian maakt bedrijven kwetsbaar voor misbruik. Dat ontdekte de Belgische ethische hacker en beveiligingsonderzoeker Inti De Ceukelaire. De servicedesks van de bedrijven in kwestie zijn publiek toegankelijk en laten iedereen toe om zelf een nieuw account aan te maken. Met dat account is het vervolgens mogelijk om tickets aan te maken binnen een organisatie.

Zelf tickets aanmaken

De gevolgen kunnen nefast zijn. Zo ontdekte De Ceukelaire een bedrijf waarbij hij een ticket kon maken om code uit te voeren op de server van de organisatie in kwestie.  Het probleem is geen lek in de software van Atlassian, maar een misconfiguratie van de Jira Service Desk door de getroffen bedrijven zelf. De fout is eenvoudig uit te buiten. Veel bedrijven hosten hun servicedesk via een eenvoudig te raden domeinnaam, veelal bedrijfsnaam.atlassian.net. Wie daar naartoe surft krijgt een standaard loginpagina te zien waarop alles koosjer lijkt.

Voeg je echter /servicedesk/customer/user/login aan de url toe, dan kom je op een pagina terecht waar je zelf een account kan aanmaken. Vervolgens kan je interne requests sturen voor toegang tot software, een badge aanvragen voor toegang tot een kantoor, terugbetalingen aanvragen en meer. Het probleem wordt ernstiger gemaakt door het feit dat iedereen zoveel mogelijk moet thuiswerken. Dat betekent dat werknemers niet live kunnen nakijken wat er gaande is bij een bepaald ticket.

Breed verspreide fout

De Ceukelaire vermoedt dat veel bedrijven hun ticketdesk als gevolg van de lockdown hebben herwerkt voor intern gebruik, maar dat ze in hun haast de configuratie onvoldoende hebben nagekeken. Hij voerde een scan uit van de 10.000 populaire bedrijfsnamen gekoppeld aan het standaard helpdeskdomein. 1.972 van hen gebruikten de Jira Helpdesk, op 288 van die gebruikers kon de onderzoeker een eigen account en tickets aanmaken. In een blogpost benadrukt De Ceukelaire dat het slechts op een steekproef gaat.

Hij contacteerde zelf al een heleboel bedrijven in een poging aan responsible disclosure te doen, maar merkte op dat veel organisaties vandaag nog geen contactadres hebben om dergelijke problemen te melden. Andere voorzagen dan weer bugbounties, tot 10.000 euro in het geval van het bedrijf waar de fout tot de uitvoering van malafide code kon leiden.

Het is duidelijk dat er wereldwijd veel meer organisaties getroffen zijn dan de scan uitwijst. Wie de Jira Service Desk gebruikt, doet er dan ook goed aan de eenvoudig te missen configuratie na te kijken.