Поделиться
Исследователи из Check Point обнаружили в платформе по разработке ПО Atlassian уязвимость. Она позволяла захватывать учётные записи и открывала доступ к коду на Bitbucket. «Дыру» эксперты нашли раньше злоумышленников.
Схема — простая. Хакеру достаточно было отправить жертве ссылку, имитирующую домен Atlassian, и убедить перейти по ней. После нажатия на ссылку загружался вредонос, который перехватывал сеанс. Это открывало злоумышленнику доступ к данным приложений Atlassian.
Check Point наглядно показывает, как можно было использовать «дыру» в безопасности приложений Atlassian:
Уязвимость затронула:
-
jira.atlassian.com
confluence.atlassian.com
getsupport.atlassian.com
partners.atlassian.com
developer.atlassian.com
support.atlassian.com
training.atlassian.com
Баги уже пофиксили. Эксперты Check Point сообщили об уязвимостях Atlassian 8 января. С 18 мая компания начала их исправлять.
Конференция PHP Russia 2021
28 июня в 10:00, Москва, От 16 000 до 32 000 ?
tproger.ru
События и курсы на tproger.ru
Atlassian — разработчик таких сервисов, как Jira, Confluence, Bitbucket и Trello. Ежемесячное количество уникальных пользователей всех продуктов Atlassian достигает 25 миллионов человек.
Серьёзные «дыры» обнаруживают в продуктах и таких крупных компаний, как Atlassian. Но часто мы сами забиваем на безопасность: забываем накатить обновление или настроить фаервол. А хакеры этим пользуются.
Если ждали знак — вот он. История с Atlassian — повод заняться безопасностью продуктов, которыми пользуетесь.
Уделите время обеспечению безопасности на этой неделе. Для начала можно посмотреть настройки в основных рабочих сервисах. А мы вам поможем парой полезных ссылок:
-
советы по обеспечению безопасности от Atlassian;
чеклист по безопасности для бизнеса от Cisco.
Источник: xaker.ru
Источник: