【技术干货】CVE-2022-26135 Atlassian Jira Mobile Plugin SSRF漏洞分析

admin 2022年8月11日12:50:02安全文章评论33 views2083字阅读6分56秒阅读模式

【技术干货】CVE-2022-26135 Atlassian Jira Mobile Plugin SSRF漏洞分析


【技术干货】CVE-2022-26135 Atlassian Jira Mobile Plugin SSRF漏洞分析
【技术干货】CVE-2022-26135 Atlassian Jira Mobile Plugin SSRF漏洞分析
xxhzz
@PortalLab实验室

漏洞描述

6月29日,Atlassian官方发布安全公告,在Atlassian Jira 多款产品中存在服务端请求伪造漏洞(SSRF),经过身份验证的远程攻击者可通过向Jira Core REST API发送特制请求,从而伪造服务端发起请求,从而导致敏感信息泄露,同时为下一步攻击利用提供条件。需注意的是,若服务端开启注册功能,则未授权用户可通过注册获取权限进而利用。

利用范围

Jira Core Server, Jira Software Server, and Jira Software Data Center:

  • Versions after 8.0 and before 8.13.22
  • 8.14.x
  • 8.15.x
  • 8.16.x
  • 8.17.x
  • 8.18.x
  • 8.19.x
  • 8.20.x before 8.20.10
  • 8.21.x
  • 8.22.x before 8.22.4

Jira Service Management Server and Data Center:

  • Versions after 4.0 and before 4.13.22
  • 4.14.x
  • 4.15.x
  • 4.16.x
  • 4.17.x
  • 4.18.x
  • 4.19.x
  • 4.20.x before 4.20.10
  • 4.21.x
  • 4.22.x before 4.22.4

    漏洞分析

    环境搭建

    使用docker搭建,在docker仓库(https://hub.docker.com/r/weareogury/atlassian-jira-software/tags)中可找到漏洞版本的Jira Software Server镜像。

    【技术干货】CVE-2022-26135 Atlassian Jira Mobile Plugin SSRF漏洞分析
    【技术干货】CVE-2022-26135 Atlassian Jira Mobile Plugin SSRF漏洞分析
    按步骤进行配置即可。
    【技术干货】CVE-2022-26135 Atlassian Jira Mobile Plugin SSRF漏洞分析

    环境搭建成功

    【技术干货】CVE-2022-26135 Atlassian Jira Mobile Plugin SSRF漏洞分析

    代码分析

    分析Jira Mobile 插件,在com.atlassian.jira.plugin.mobile.rest.v1_0.BatchResource中存在barch API接口,阅读代码,该API应该是用于接收多个请求并在服务端执行。

    【技术干货】CVE-2022-26135 Atlassian Jira Mobile Plugin SSRF漏洞分析

    分析下方的executeBatch函数。

    【技术干货】CVE-2022-26135 Atlassian Jira Mobile Plugin SSRF漏洞分析

    在如图所示代码,实际负责发送HTTP请求。其中batchService接口的实现类BatchServiceImpl位于com.atlassian.jira.plugin.mobile.service.impl.BatchServiceImpl.class

    分析batch函数。

    【技术干货】CVE-2022-26135 Atlassian Jira Mobile Plugin SSRF漏洞分析

    根据如上代码,定位execute函数。

    【技术干货】CVE-2022-26135 Atlassian Jira Mobile Plugin SSRF漏洞分析

    其中relativeLocation来自于requestBean.getLocation中的location。

    【技术干货】CVE-2022-26135 Atlassian Jira Mobile Plugin SSRF漏洞分析

    后续传入toJiraLocation函数

    【技术干货】CVE-2022-26135 Atlassian Jira Mobile Plugin SSRF漏洞分析

    【技术干货】CVE-2022-26135 Atlassian Jira Mobile Plugin SSRF漏洞分析

    继续跟进,位于com.atlassian.jira.plugin.mobile.util.LinkBuilder.class

    【技术干货】CVE-2022-26135 Atlassian Jira Mobile Plugin SSRF漏洞分析
    URL通过简单的拼接构造,而其中的path来自于location,完全可控。
    继续回到execute函数。
    【技术干货】CVE-2022-26135 Atlassian Jira Mobile Plugin SSRF漏洞分析

    location会从json对象中获取,在获取到URL对象后,再调用httpClientProvider发送Http请求。

    因为URL的后半部分是可控的,如果我们简单指定location为@xx.com,那么最终的URL为https://[email protected],httpClientProvider实际上会对xx.com发送http请求,所以导致了SSRF漏洞产生。

    漏洞复现

    使用burpsuite自带的dnslog功能进行探测,成功发送请求。

    【技术干货】CVE-2022-26135 Atlassian Jira Mobile Plugin SSRF漏洞分析

    修复建议

    1. 将受影响的产品升级到最新安全版本:

    Jira Core Server、Jira Software Server 和 Jira Software Data Center 可升级至:
    • 8.13.22
    • 8.20.10
    • 8.22.4 
    • 9.0.0
    Jira Service Management Server 和 Data Center 可升级至:
    • 4.13.22
    • 4.20.10
    • 4.22.4 
    • 5.0.0

    2. 缓解措施

    (1) 关闭用户注册功能。

    (2) 禁用Mobile Plugin,具体步骤如下:

    a、在应用程序的顶部导航栏中,选择设置 -> 管理加载项或管理应用程序。

    b、找到Mobile Plugin for Jira Data Center and Server应用程序,然后选择禁用即可。

    (3) 升级Mobile Plugin至最新版本。

    参考材料

    https://confluence.atlassian.com/jira/jira-server-security-advisory-29nd-june-2022-1142430667.html


    关于Portal Lab

    星阑科技 Portal Lab 致力于前沿安全技术研究及能力工具化。主要研究方向为API 安全、应用安全、攻防对抗等领域。实验室成员研究成果曾发表于BlackHat、HITB、BlueHat、KCon、XCon等国内外知名安全会议,并多次发布开源安全工具。未来,Portal Lab将继续以开放创新的态度积极投入各类安全技术研究,持续为安全社区及企业级客户提供高质量技术输出。


    【技术干货】CVE-2022-26135 Atlassian Jira Mobile Plugin SSRF漏洞分析

    原文始发于微信公众号(星阑PortalLab):【技术干货】CVE-2022-26135 Atlassian Jira Mobile Plugin SSRF漏洞分析

    特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
    • 我的微信
    • 微信扫一扫
    • weinxin
    • 我的微信公众号
    • 微信扫一扫
    • weinxin
    admin
    • 本文由 发表于 2022年8月11日12:50:02
    • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                    【技术干货】CVE-2022-26135 Atlassian Jira Mobile Plugin SSRF漏洞分析 http://cn-sec.com/archives/1231507.html

    发表评论

    匿名网友 填写信息

    :?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: