Una vulnerabilidad crítica en Jira Service Administration Server and Knowledge Heart de Atlassian podría permitir que un atacante no autenticado se haga pasar por otros usuarios y obtenga acceso remoto a los sistemas.
Atlassian explica que el problema de seguridad afecta a las versiones 5.3.0 a 5.5.0 y que los piratas informáticos pueden obtener “acceso a una instancia de Jira Service Administration en determinadas circunstancias”.
rastreado como CVE-2023-22501, la vulnerabilidad tiene una puntuación de gravedad crítica de 9,4, según los cálculos de Atlassian. Podría usarse para apuntar a cuentas de bot en specific, debido a sus interacciones frecuentes con otros usuarios y su mayor probabilidad de ser incluidos en problemas o solicitudes de Jira o recibir correos electrónicos con un enlace “Ver solicitud”, ya que ambas condiciones son necesarias para adquirir tokens de registro. .
Atlassian ha publicado actualizaciones que solucionan el problema y aconseja a los administradores que actualicen a las versiones 5.3.3, 5.4.2, 5.5.1y 5.6.0 o posterior.
Si la actualización no se puede instalar de inmediato, el proveedor proporcionó una solución alternativa en forma de un archivo JAR que se puede usar para actualizar manualmente el “complemento de sustitución de variable de servicedesk”, como se describe en los pasos a continuación:
- Descargue el JAR específico de la versión del aviso
- Detener Jira
- Copie el archivo JAR en el directorio principal de Jira (“
/plugins/installed-plugins” para servidores o “ para centros de datos) - reiniciar el servicio
Atlassian también ha publicado un página de preguntas frecuentes explicando que se recomienda la actualización incluso si las instancias no están expuestas a la Web pública o si tienen un directorio de usuarios externo con el inicio de sesión único (SSO) habilitado.
Como advertencia, los cambios de contraseña realizados por un atacante no generarán una notificación por correo electrónico al propietario de la cuenta, lo que dificultará la detección de un compromiso.
Sin embargo, después de aplicar la actualización de seguridad disponible o la solución del archivo JAR, los administradores pueden verificar qué cuentas cambiaron sus contraseñas e iniciaron sesión desde que instalaron la versión anterior, lo que podría revelar un acceso no autorizado a las cuentas.
Atlassian recomienda que los administradores fuercen un restablecimiento de contraseña en todos los usuarios potencialmente violados y se aseguren de que sus direcciones de correo electrónico sean correctas.
Si se ha detectado una infracción, la recomendación es apagar y desconectar inmediatamente el servidor comprometido de la crimson para minimizar el alcance del ataque.
