Os invasores aparentemente estão tentando explorar duas vulnerabilidades de path traversal no plug-in ‘Navegação Stagil para Jira – Menus e temas’, alerta o SANS Internet Storm Center.
Distribuído por meio do mercado Atlassian, o plug-in permite que os usuários personalizem sua instância do Jira com um navegador personalizado, submenus e outros elementos.
Rastreado como CVE-2023-26255 e CVE-2023-26256as duas falhas de alta gravidade foram divulgadas em fevereiro de 2023 e foram corrigidas com o lançamento da versão 2.0.52 do plug-in.
Os bugs permitem que um invasor modifique o parâmetro fileName do snjCustomDesignConfig e snjFooterNavigationConfig endpoints para percorrer e ler o sistema de arquivos.
Problemas de travessia de diretório geralmente permitem que invasores leiam arquivos arbitrários no servidor em que um aplicativo está sendo executado, potencialmente obtendo acesso a credenciais, dados de aplicativos e outras informações confidenciais.
De acordo com o reitor de pesquisa da SANS, Johannes Ullrich, o primeiro tentativas de exploração visando CVE-2023-26255 foram observados no final de março. Após três meses de silêncio, os invasores pegaram as explorações novamente esta semana e agora estão visando ambas as vulnerabilidades.
“O invasor tenta baixar o arquivo ‘etc/passwd’. Normalmente, ‘etc/passwd/’ não é tão interessante. Mas é frequentemente usado para verificar uma vulnerabilidade. Posteriormente, o invasor pode recuperar outros arquivos mais interessantes”, explica Ullrich.
O pesquisador de segurança também observou ataques tentando baixar o arquivo ‘dbconfig.xmlpasswd’, que Jira usa para armazenar senhas de banco de dados.
Os ataques, ele observa, vieram de dois endereços IP diferentes e continham solicitações semelhantes para buscar arquivos contendo senhas.
“Não está claro se as duas varreduras para qualquer vulnerabilidade estão relacionadas. Ter duas varreduras maiores para uma vulnerabilidade como essa em um curto período de tempo é suspeito. As verificações usam diferentes agentes de usuário, mas isso não significa que as verificações foram iniciadas por diferentes grupos/indivíduos. Nenhum dos endereços IP está associado a um grupo de ameaças conhecido”, observa Ullrich.
Informações técnicas e explorações de prova de conceito (PoC) voltadas para ambas as vulnerabilidades são públicas desde fevereiro.
Os clientes do Jira que usam o plug-in ‘Navegação Stagil para Jira’ são aconselhados a atualizar para uma versão corrigida o mais rápido possível.