Un difetto critico nella piattaforma Atlassian, in più versioni dei suoi prodotti Jira Data Center e Jira Service Management Data Center, dovrebbe essere patchato immediatamente. La piattaforma di ingegneria del software è utilizzata da 180,000 clienti che ora sono in pericolo da remoto, attacchi non autenticati, a meno che non risolvano il bug il prima possibile.
Il bug viene registrato come CVE-2020-36239. Un elenco delle versioni interessate è disponibile in Consulenza di Atlassian.
CVE-2020-36239: Telecomando critico, Difetto non autenticato
CVE-2020-36239 è classificato come una vulnerabilità di sicurezza di gravità critica introdotta nella versione 6.3.0 di Jira Data Center, Jira Core Data Center, Jira Software Data Center, e Jira Service Management Data Center, conosciuto come Jira Service Desk prima di 4.14.
Secondo la descrizione del problema di Atlassian, gli attaccanti possono eseguire codice arbitrario tramite deserializzazione a causa di un difetto di autenticazione mancante:
Jira Data Center, Jira Core Data Center, Jira Software Data Center, e Jira Service Management Data Center hanno esposto un servizio di rete Ehcache RMI che gli aggressori, chi può connettersi al servizio, sulla porta 40001 e potenzialmente 40011[0][1][2], potrebbero eseguire codice arbitrario di loro scelta in Jira attraverso la deserializzazione a causa di una vulnerabilità di autenticazione mancante. Sebbene Atlassian suggerisca fortemente di limitare l'accesso alle porte Ehcache solo alle istanze del Data Center, le versioni fisse di Jira ora richiedono un segreto condiviso per consentire l'accesso al servizio Ehcache.
Per affrontare il problema, le parti interessate dovrebbero applicare immediatamente le patch disponibili.
Se le patch non possono essere applicate per qualche motivo, un trucco di mitigazione può essere utilizzato. Per mitigare CVE-2020-36239, dovresti limitare l'accesso alle porte Ehcache RMI a Jira Data Center, Jira Core Data Center, e Jira Software Data Center, e Jira Service Management Data Center per clusterizzare solo le istanze con l'aiuto di un firewall o una tecnologia simile.