[2019.07.12] CVE-2019-11581 Jira 서버, 데이터 센터 코드 실행 취약점

요약

- 취약점 : ContactAdministratos, SendBulkMail 액션에 서버 사이드 템플릿 삽입 취약점 존재. 공격자는 취약한 jira 시스템에 원격으로 코드를 실행 할 수 있음

- 선행조건 : 

(1) SMTP 서버가 Contact Administrators Form 설정이 Enable → 인증 없이 공격 가능

(2) 공격자가 Jira Administrator 접근 가능 → 인가된 사용자로 공격 가능

- 영향 받는 제품 : 

Jira Server, Data Center version  4.4.0 - 7.6.14, 

Jira Server, Data Center version  7.7.0-7.13.5

Jira Server, Data Center version  8.0.0-8.0.3

Jira Server, Data Center version  8.1.0 - 8.1.2

(Jira Software, Jira Core, Jira Service Desk 또한 영향 받음/ Jira Cloud 경우 안전)

제품 리스트 참고 : https://confluence.atlassian.com/jira/jira-security-advisory-2019-07-10-973486595.html

- 공식 대응법 : 취약한 버전에 대한 패치 필요 (7.6.14, 7.13.5, 8.0.3, 8.1.2, 8.2.)

- 임시 대응법 : 

      (1) Contact Administrator Form 설정 – Disable

          설정 > 시스템 > 일반 설정 > 설정 변경 > Contact Administrator From 설정 Off > 하단 업데이트 버전 클릭으로 설정 적용

      (2) 엔드포인트의 /secure/admin/SendBulkMail!default.jspa 접근 제한 : reverse-proxy, load balancer, Tomcat에서 접근 제한 설정

       * SendBulkMail 자체 접근을 제한할 시 Jira admin이 사용자들에게 벌크 이메일 전송이 불가능하게 됨.

       Jira 업그레이드 후, Adminstrator Contact Form 재 설정 및 SendBulkMail의 접근 제한을 해제 할 수 있음

관련 CVE정보

- CVE-2019-11581

- CVSS 3.0 Base Score: 8.1

- PoC : 현재 없음 (2019.07.12 10:30)

(현재 공식 PoC는 존재 하지 않으나 과거 Atlassian 발견 취약점(CVE-2019-3395,CVE-2019-3396)에 대한 PoC가 취약점 발표 후 오래지 않아 발표된 것처럼 jira 취약점 PoC도 곧 나타날 것으로 예상)

영향성

CVE-2019-2725에 대한 패치가 적용 되었더라고 공격이 가능함으로, 신속한 임시 대응 조치가 필요함.

참고자료

출처 : https://confluence.atlassian.com/jira/jira-security-advisory-2019-07-10-973486595.html

https://www.tenable.com/blog/cve-2019-11581-critical-template-injection-vulnerability-in-atlassian-jira-server-and-data?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+tenable%2FqaXL+%28Tenable+Network+Security+Blog%29