CVE-2019-8451：Jiraにおけるサーバーサイドリクエストフォージェリ（SSRF）の脆弱性を突く概念実証コードが公開される

Jiraの脆弱性を悪用する概念実証コードが公開されましたが、Jira 7.xには脆弱性の修正が提供されていません

背景

9月9日、アトラシアンはJira CoreおよびJira Softwareのバージョン8.4.0をリリースしました。これには、2019年8月に報告された重要なセキュリティ問題の修正が含まれています。

分析

CVE-2019-8451は、/plugins/servlet/gadgets/makeRequestリソースにある認証の前段階に存在するサーバーサイドリクエストフォージェリ（SSRF）の脆弱性です。脆弱性の原因は、JiraWhitelist classの「ロジックバグ」 で、認証されていない攻撃者は、特別に細工したWebリクエストを脆弱なJiraサーバーに送信することにより、この脆弱性を悪用する可能性があります。攻撃に成功すると、不正アクセスが発生し、内部ネットワークリソースが表示、変更される可能性があります。

この脆弱性は、2017年11月のエンタープライズリリースであるJira CoreおよびJira Softwareバージョン7.6.0で初めて導入され、7.6.0から8.3.4までのJira CoreおよびSoftwareバージョンに影響を与えます。

パッチがリリースされて間もなく、CVE-2019-8451を悪用する概念実証（PoC）を含むGitHubリポジトリが9月16日に公開されました。9月23日、セキュリティ研究者のHenry Chenは、アニメーションGIFの脆弱性の悪用を示すツイートを公開しました。このツイートでは、2017年にDEVCOREの研究者のOrange TsaiがBlack Hatの講演「SSRFの新時代 - 有名プログラミング言語内のURLパーサーを攻撃！」で発表したSSRF脆弱性に関する以前の研究を参照しています。

SquareのCashAppのセキュリティ責任者であるDino A. Dai Zoviは、「AWSでJIRAを実行している場合、このサーバーサイドリクエストフォージェリ（SSRF）の脆弱性はリモートコード実行の脆弱性だとみなされる」とChenのツイートをリツイートしています。Amazon Web Services（AWS）内のJira資産に対するこのエクスポージャーは、2017年からの研究で特定されているようにAWSインスタンスメタデータサービスへのアクセスを提供する可能性があります。

SSRFは、攻撃者によるクラウドプロバイダーのAPIのクエリ、権限の列挙、データの抽出、または他のクラウドサービスのAPIコマンドの実行を可能にします。上記の例は、単に環境からセキュリティ資格情報を取得することを目的としています。

このインスタンスメタデータサービスは169.254.169.254にあり、Amazon Elastic Compute Cloud（EC2）インスタンスに関する情報を提供します。このSSRFの脆弱性により、インスタンスのAPIメタデータサービスをクエリすることにより、そのインスタンスに含まれるクラウドコンピューティング権限へのアクセスが認証されていない攻撃者に許可される可能性があります。

このAWSのユースケースでは、この脆弱性の悪用により、攻撃者はセキュリティクレデンシャルについてインスタンスメタデータサービスをクエリできます。AWSのセキュリティ資格情報エンドポイント「/latest/meta-data/iam/security-credentials/」はロール名を返します。ロール名を使用してセキュリティ資格情報エンドポイントをクエリすると、AWS API AccessKeyID、シークレットアクセスキー、および有効期限付きのトークンが提供されます。

攻撃者はこれらの資格情報を使用して、インスタンスのロールに関連付けられているアクションを実行することができます。たとえば、サプライチェーン侵害シナリオでは、攻撃者はより巧妙な手口として、このアクセスを使用してEC2インスタンスのユーザースクリプトをクエリし、Amazon Elastic Container Service（ECS）（Dockerコンテナ）資産の構成を取得し、Dockerイメージを取得し、バックドアを作成してから、イメージをレジストリにプッシュすることができます。概念的には、クラウドプロバイダー（AWS、Azure、Googleクラウド、Alibaba、Digital Ocean）に存在する公開されたJIRA資産は標的となり、組織に壊滅的な侵害を引き起こす可能性があります。

概念実証

上記のように、CVE-2019-8451の概念実証は9月16日に公開され、9月23日のツイートではさらなる例が取り上げられています。

ソリューション

アトラシアンは、Jira CoreおよびJira Softwareバージョン8.4.0でこの脆弱性に対処しています。この脆弱性の影響を受けるJira 7.xのリリースの多くは、もうすぐサポート終了（EOL）になります。最新のエンタープライズリリースバージョンであるJira 7.13は、2020年11月にサポートが終了し、Jira 7.6は、2019年11月にサポートが終了します。 それぞれのサポート終了日まで、これらのJiraバージョンにはバグ修正が適用されますが、最近のリリースでは、Jira 7.0の脆弱性であるCVE-2019-8451が解決されていません。Jira 8.4.0にアップグレードする以外、この脆弱性の悪用を防ぐための特別な回避策はありません。唯一の解決策は、Jiraインスタンスが一般にアクセスできないようにすることです。

AWSのコンテキストでは、AWSアセットの強力なロールおよびプロファイル管理機能を利用し、最小限の特権の原則に従ってAPIアクセスを制限し、悪意のあるアクティビティを識別するための検出のロギングを有効にすることを管理者にお勧めします。

影響を受けているシステムの特定

この脆弱性を識別するための Tenable のプラグインのリストは、リリースされた時点で こちら に表示されます。

詳細情報

• Jira Issue Tracker for CVE-2019-8451
• Abusing AWS Metadata Service

Tenable コミュニティの Tenable セキュリティレスポンスチームに参加してみませんか。

最新のアタックサーフェスを総合的に管理する初のサイバーエクスポージャープラットフォーム、 Tenable.io の詳細情報をご覧ください。今すぐ Tenable.io Vulnerability Management の60日間無料トライアルをお試しください。