요약
- 취약점 : ContactAdministratos, SendBulkMail 액션에 서버 사이드 템플릿 삽입 취약점 존재. 공격자는 취약한 jira 시스템에 원격으로 코드를 실행 할 수 있음
- 선행조건 :
(1) SMTP 서버가 Contact Administrators Form 설정이 Enable → 인증 없이 공격 가능
(2) 공격자가 Jira Administrator 접근 가능 → 인가된 사용자로 공격 가능
- 영향 받는 제품 :
Jira Server, Data Center version 4.4.0 - 7.6.14,
Jira Server, Data Center version 7.7.0-7.13.5
Jira Server, Data Center version 8.0.0-8.0.3
Jira Server, Data Center version 8.1.0 - 8.1.2
(Jira Software, Jira Core, Jira Service Desk 또한 영향 받음/ Jira Cloud 경우 안전)
제품 리스트 참고 : https://confluence.atlassian.com/jira/jira-security-advisory-2019-07-10-973486595.html
- 공식 대응법 : 취약한 버전에 대한 패치 필요 (7.6.14, 7.13.5, 8.0.3, 8.1.2, 8.2.)
- 임시 대응법 :
(1) Contact Administrator Form 설정 – Disable
설정 > 시스템 > 일반 설정 > 설정 변경 > Contact Administrator From 설정 Off > 하단 업데이트 버전 클릭으로 설정 적용
(2) 엔드포인트의 /secure/admin/SendBulkMail!default.jspa 접근 제한 : reverse-proxy, load balancer, Tomcat에서 접근 제한 설정
* SendBulkMail 자체 접근을 제한할 시 Jira admin이 사용자들에게 벌크 이메일 전송이 불가능하게 됨.
Jira 업그레이드 후, Adminstrator Contact Form 재 설정 및 SendBulkMail의 접근 제한을 해제 할 수 있음
관련 CVE정보
- CVE-2019-11581
- CVSS 3.0 Base Score: 8.1
- PoC : 현재 없음 (2019.07.12 10:30)
(현재 공식 PoC는 존재 하지 않으나 과거 Atlassian 발견 취약점(CVE-2019-3395,CVE-2019-3396)에 대한 PoC가 취약점 발표 후 오래지 않아 발표된 것처럼 jira 취약점 PoC도 곧 나타날 것으로 예상)
영향성
CVE-2019-2725에 대한 패치가 적용 되었더라고 공격이 가능함으로, 신속한 임시 대응 조치가 필요함.
참고자료
출처 : https://confluence.atlassian.com/jira/jira-security-advisory-2019-07-10-973486595.html
https://www.tenable.com/blog/cve-2019-11581-critical-template-injection-vulnerability-in-atlassian-jira-server-and-data?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+tenable%2FqaXL+%28Tenable+Network+Security+Blog%29
'Vulnerability' 카테고리의 다른 글
[2019.07.24] ProFTPD 파일 복사 취약점 (CVE-2019-12815) (0) | 2019.07.24 |
---|---|
[2019.07.18] Cisco Vision Dynamic Signage Director REST API 인증 우회 취약점(CVE-2019-1917) (0) | 2019.07.18 |
[2019.06.19] BlueKeep(CVE-2019-0708) 취약 OS 추가발견 (0) | 2019.06.19 |
[2019.06.18] CVE-2019-2725 패치 우회 역직렬화 원격 코드 실행 취약점 (0) | 2019.06.18 |
[2019.06.14] Exim 원격 명령어 실행 취약점(CVE-2019-10149) 대상 공격 성행 (0) | 2019.06.14 |