Uma falha crítica na plataforma Atlassian, em várias versões de seus produtos Jira Data Center e Jira Service Management Data Center, deve ser corrigido imediatamente. A plataforma de engenharia de software é usada por 180,000 clientes que agora estão ameaçados por controle remoto, ataques não autenticados, a menos que eles consertem o bug o mais rápido possível.
O bug é rastreado como CVE-2020-36239. Uma lista de versões afetadas está disponível em Conselheiro da Atlassian.
CVE-2020-36239: Remoto Crítico, Falha não autenticada
CVE-2020-36239 é classificado como uma vulnerabilidade de segurança de gravidade crítica introduzida na versão 6.3.0 do Data Center Jira, Jira Core Data Center, Jira Software Data Center, e Jira Service Management Data Center, conhecido como Jira Service Desk antes de 4.14.
De acordo com a descrição da Atlassian do problema, atacantes podem executar código arbitrário via desserialização devido a uma falha de autenticação ausente:
Jira Data Center, Jira Core Data Center, Jira Software Data Center, e Jira Service Management Data Center expôs um serviço de rede Ehcache RMI que os atacantes, quem pode se conectar ao serviço, no porto 40001 e potencialmente 40011[0][1][2], podem executar código arbitrário de sua escolha no Jira por meio da desserialização devido a uma vulnerabilidade de autenticação ausente. Enquanto Atlassian sugere fortemente restringir o acesso às portas Ehcache apenas para instâncias de data center, versões fixas do Jira agora exigirão um segredo compartilhado para permitir o acesso ao serviço Ehcache.
Para resolver o problema, as partes afetadas devem aplicar os patches disponíveis imediatamente.
Se os patches não puderem ser aplicados por algum motivo, um truque de mitigação pode ser utilizado. Para mitigar CVE-2020-36239, você deve restringir o acesso às portas Ehcache RMI para Jira Data Center, Jira Core Data Center, e Jira Software Data Center, e Jira Service Management Data Center para apenas instâncias de cluster com a ajuda de um firewall ou uma tecnologia semelhante.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: