近期 Atlassian 公布了一則關於 Crowd 系列產品之資訊安全相關的文章,內容涵蓋到所有下方產品版本,如是有使用下方版本之客戶請注意 :
Product | Affected Versions |
Crowd Server and Data Center |
|
漏洞摘要
此漏洞通報披露了一個嚴重的安全配置錯誤漏洞,該漏洞是在 Crowd 3.0.0 中引入的。故3.0.0 之後發佈的所有版本都會受到影響,但前提是同時滿足以下兩個條件:
該漏洞僅涉及受影響版本的新安裝:如果您從早期版本(例如版本 2.9.1)升級到版本 3.0.0 或更高版本,則您的實例不受影響。新安裝由 Crowd instance 定義,該 instance與您最初從下載頁面下載的版本相同,並且此後未升級。
IP 位址已新增到 Crowd application 的遠端 Address 設定中(在 3.0.0 之後的版本中預設沒有)
該漏洞允許攻擊者如果從 Crowd allow list 中的 IP Address 連接,將有機會繞過密碼檢查而Crowd Application 進行身份驗證。這將允許攻擊者在使用者管理路徑下調用 Crowd 的 REST API 中的特權 Endpoint。
解決方案
此風險當前 Atlassian rates 評判為嚴重等級。當貴司環境處於上方指定版本並且符合指定條件時就有可能會受到此漏洞所影響,請盡速做升級動作,建議升級到下方指定版本 :
檢測系統狀態
如何知曉系統是否已被入侵,可以從下方兩種資訊去確認 :
Access log –
但因為 Access log 預設不會開啟,如果受到入侵是在開啟 access log 之前則此確認方法無效,從 access log 中,應該可以縮小對 user management 調用到的範圍。
Audit log (Data Center only) –
您可以在 Crowd 的 Audit log 中搜索 Crowd 執行的紀錄,確認是否異常設定。
緩解方法
如果短時間內沒有辦法進行升級,您可以通過下方兩種方法來暫時緩解此問題:
刪除或驗證 Crowd 產品中的 Crowd Application 任何遠端 Address 來暫時緩解此問題
1. Log in to the Crowd Administration Console.
2. In the top navigation bar, click Applications.
3. In the Application Browser, select the crowd application.
4. In the View Application screen, click the Remote Addresses tab.
5. Remove any remote addresses.
修改 Crowd Application 的密碼更改為更強的密碼,這在無法刪除遠端 Address 時尤其重要
1. Log in to the Crowd Administration Console.
2. In the top navigation bar, click Applications.
3. In the Application Browser, select the crowd application.
4. In the Details tab, select Change password.
但再次提醒如貴司當前環境為漏洞影響之範圍內,最終應該都請盡速做主程式的升級,如有需要任何協助確認或者升級工程,請盡速與 Linktech 團隊做聯繫。
Atlassian 針對此漏洞之完整說明,有需要請參考下方連結 –
Linktech 深耕 Atlassian 系列解決方案,同時涵蓋資訊安全檢驗的部分,若有發現 Atlassian 系列產品環境存在潛在危機的客戶,歡迎隨時與我們聯繫,同時在軟體升級的部分,我們也會再進行升級前進行全系統的盤點與掃描,確保升級後功能可以正常使用,且資料不會流失。
資訊安全對於 IT 團隊來說責任是重中之重, 然而每個 IT 團隊要維護的系統非常繁雜,有 ERP、CRM、Issue Tracking…等,有時要管理的系統太多,反而頭尾不能兼顧,如果您也遇到這樣的情況,請放心將您的系統委由 Linktech 協助維護,我們將會是您系統維運最佳神隊友。