Con fecha de 1ro de febrero de 2023, Atlassian (propietarios de Jira y Trello, entre otros) publico un reporte de seguridad sobre una vulnerabilidad crítica en Jira. La misma habría sido encontrada en dos productos estrellas: Jira Service Management Server y Jira Service Management Data Center.
Profundicemos un poco sobre esta vulnerabilidad, el riesgo real y especialmente como podemos resolverla en caso de que ya tengamos este problema. Por cierto, cuando hablamos de vulnerabilidades de rango “críticas” es importante prestar atención, especialmente si la empresa ya le encontró solución, y actuar cuanto antes.
La vulnerabilidad crítica en Jira es CVE-2023-22501
Como leíste, la identificación dada a esta vulnerabilidad es CVE-2023-22501. Esta vulnerabilidad está orientada a la Autenticación, lo que permitiría potencialmente a un atacante fingir o hacerse pasar por otro usuario y obtener acceso a Jira Service Management ante ciertas circunstancias especiales. Esto le facilitaría el acceso a escritura al directorio de usuarios y poder obtener el correo electrónico saliente habilitado. De esta manera, el atacante accedería a los tokens de suscripción que se envían a los usuarios de cuentas que nunca iniciaron sesión.
Bajo la Triada CIA (Confidencialidad, Integridad y Disponibilidad), el riesgo en Confidencialidad es Alto, en Integridad es Alto y en Disponibilidad es Bajo. Esto significa que, aunque los datos están disponibles (el sistema no está caído), hay altas posibilidades de que los datos confidenciales sean perjudicados y que la Integridad de los mismos este en riesgo.
Como afecta y como resolver esta vulnerabilidad crítica en Jira
Recordamos que SOLAMENTE las versiones de Jira Service Management Server y Jira Service Management Data Center son vulnerables. Si accedes a tus productos bajo un dominio tipo “atlassian.net” (la mayoría de Jira Cloud) NO se ven afectados. Si realizaste nuestra formación, trabajamos con el producto Jira Cloud, así que no deberías preocuparte.
La versión de Jira Service Management afectada (donde se introdujo la vulnerabilidad) es la 5.3.0 así que las versiones:
- 5.3.0
- 5.3.1
- 5.3.2
- 5.4.0
- 5.4.1
- 5.5.0
están afectadas. Por ello es necesario corregir y actualizar el producto que tengas lo antes posible. Atlassian reporta que las versiones
- 5.3.3
- 5.4.2
- 5.5.1
- 5.6.0 o posterior
tienen corregida esta vulnerabilidad, por lo que, para resolver el daño, bastaría a priori actualizar tu producto. Desde este enlace oficial, puedes descargar la última versión disponible. También te dejamos el enlace al reporte oficial, donde podrás ver como actualizar el archivo JAR directamente si prefieres esta opción.
Conclusión
Siempre es complejo descubrir vulnerabilidades críticas, pero es bueno que sean detectadas y que nos permitan a nosotros como usuarios tomar las medidas necesarias para mitigar los problemas y daños. Recuerda que es bueno estar al pendiente de las noticias de los productos que manejamos, para de esta manera poder neutralizar los riesgos apenas son encontrados.