Puntos clave El boletín de agosto de 2024 de CERT-In enfatiza la necesidad urgente de que las organizaciones actualicen sus productos Atlassian debido a vulnerabilidades críticas. La aplicación rápida de parches es esencial para abordar estos problemas de alta gravedad y mitigar los riesgos. Las vulnerabilidades descubiertas abarcan una variedad de riesgos graves, incluida la ejecución de código arbitrario, secuencias de comandos entre sitios (XSS) y escalada de privilegios. Estos afectan a varios productos Atlassian, como Bamboo, Confluence y Jira, y plantean importantes amenazas de seguridad. Las vulnerabilidades críticas están vinculadas a versiones específicas del software Atlassian: versiones de Bamboo anteriores a 9.6.5, versiones de Confluence anteriores a 8.9.5, versiones de Crowd anteriores a 5.3.2, versiones de Jira anteriores a 9.17.1 y versiones de Jira Service Management anteriores a 5.17.1. Las vulnerabilidades notables incluyen CVE-2024-21689 en Bamboo, que afecta tanto a las versiones Data Center como Server, y CVE-2024-37768 en Jira, que podría permitir que usuarios no autorizados obtengan permisos elevados. Los problemas con la administración de recursos en bibliotecas integradas, como Bouncy Castle, podrían provocar una degradación del rendimiento o interrupciones del servicio. Actualizar a las últimas versiones de estas bibliotecas es crucial para mantener la estabilidad del sistema. Las vulnerabilidades en componentes como Apache Tomcat afectan a muchos productos de Atlassian, con posibles impactos que incluyen interrupciones del servicio y violaciones de la integridad del sistema. Las actualizaciones periódicas de estos componentes son necesarias para evitar la explotación. Las vulnerabilidades críticas en Confluence podrían exponer datos confidenciales, incluidas las comunicaciones y los documentos internos. Las organizaciones deben actualizar sus sistemas para protegerse contra posibles violaciones de datos. La explotación de vulnerabilidades pasadas resalta la necesidad de un monitoreo de seguridad continuo. Las evaluaciones de seguridad periódicas, la aplicación rápida de parches y las medidas proactivas son esenciales para protegerse contra amenazas nuevas y existentes. Descripción general CERT-In ha agregado múltiples vulnerabilidades críticas de Atlassian a su catálogo luego de la divulgación por parte de la organización en su Boletín de seguridad de agosto de 2024. Estas vulnerabilidades afectan a una variedad de productos de Atlassian, incluidos Bamboo, Confluence y más. Este análisis tiene como objetivo examinar en profundidad estas vulnerabilidades, detallando sus posibles impactos, riesgos asociados y estrategias de mitigación recomendadas. El Boletín de seguridad de agosto de 2024 de Atlassian aborda 9 vulnerabilidades de alta gravedad que se han solucionado en actualizaciones de productos recientes. Estas vulnerabilidades se identificaron a través del programa Bug Bounty de la empresa, pruebas de penetración y escaneos de bibliotecas de terceros. La organización indicó que las vulnerabilidades enumeradas en este boletín de agosto de 2024 son menos críticas en comparación con las que se encuentran en los Avisos de seguridad críticos, que pueden requerir parches inmediatos fuera del cronograma mensual regular. Varias vulnerabilidades de Atlassian afectan a productos y servicios La nota de vulnerabilidad CIVN-2024-0258 de CERT-In, publicada el 21 de agosto de 2024, destaca varias vulnerabilidades de alta gravedad en varios productos de Atlassian, incluidos Bamboo Data Center and Server, Confluence Data Center and Server, Crowd Data Center and Server, Jira Data Center and Server y Jira Service Management Data Center and Server. Estas vulnerabilidades, que afectan a las versiones anteriores a 9.6.5 para Bamboo, 8.9.5 para Confluence, 5.3.2 para Crowd, 9.17.1 para Jira y 5.17.1 para Jira Service Management, podrían permitir a los atacantes ejecutar código arbitrario, realizar ataques de secuencias de comandos entre sitios (XSS) y falsificación de solicitudes entre sitios (CSRF), explotar la falsificación de solicitudes del lado del servidor (SSRF), acceder a información confidencial o provocar denegación de servicio (DoS). CVE-2024-21689: vulnerabilidad de alto riesgo en Atlassian Bamboo Atlassian Bamboo, una popular herramienta de implementación e integración continua, ha sido identificada con una vulnerabilidad grave catalogada como CVE-2024-21689. Esta falla afecta tanto a las versiones Bamboo Data Center como Bamboo Server, lo que representa un riesgo para las organizaciones que dependen de estas plataformas para sus canales de CI/CD. La vulnerabilidad en cuestión se relaciona con una funcionalidad crítica dentro de Bamboo, aunque los detalles específicos sobre la naturaleza de la falla siguen siendo algo limitados. La puntuación del Common Vulnerability Scoring System (CVSS) para esta vulnerabilidad es 7,6, lo que la categoriza como de alto riesgo. Dado el papel central de Bamboo en la automatización de los procesos de desarrollo e implementación de software, el impacto potencial de esta vulnerabilidad es sustancial. La explotación de esta falla podría provocar acceso no autorizado, violaciones de datos o interrupciones en los flujos de trabajo de implementación. Para mitigar los riesgos asociados, se recomienda encarecidamente a las organizaciones que utilizan versiones afectadas de Bamboo que actualicen a la última versión. Atlassian ha abordado este problema en actualizaciones recientes, que incluyen parches de seguridad críticos para cerrar las vulnerabilidades identificadas. CVE-2024-29857: vulnerabilidad de agotamiento de recursos en Bouncy Castle Bouncy Castle, una biblioteca criptográfica ampliamente utilizada que se integra con varios productos de Atlassian, ha sido identificada con una vulnerabilidad notable catalogada como CVE-2024-29857. Esta falla afecta a las versiones de Bouncy Castle hasta la 1.77 y está relacionada con el manejo de recursos limitados dentro de la biblioteca. La naturaleza de esta vulnerabilidad puede provocar el agotamiento de los recursos, lo que puede interrumpir las operaciones del servicio o degradar el rendimiento. Las organizaciones que utilizan Bouncy Castle en sus entornos de Atlassian deben priorizar la actualización a la versión 1.78, incluidas las correcciones esenciales para abordar el agotamiento de los recursos. La actualización a la última versión ayudará a garantizar que la biblioteca criptográfica funcione de manera eficiente y segura dentro de los sistemas integrados. CVE-2024-34750: Vulnerabilidad en Apache Tomcat que afecta a productos de Atlassian Apache Tomcat, una popular implementación de código abierto de Java Servlets, es otro componente afectado por vulnerabilidades críticas relevantes para los productos de Atlassian. La vulnerabilidad catalogada como CVE-2024-34750 afecta a las versiones 9.0.89, 10.1.24 y 11.0.0-M20 de Apache Tomcat. Específicamente, esta falla pertenece al componente HTTP2 Stream Handler, que es responsable de administrar las conexiones HTTP/2. El Common Vulnerability Scoring System (CVSS) para esta vulnerabilidad es 7.5, lo que la categoriza como un riesgo moderado. El impacto potencial de esta falla incluye interrupciones del servicio y posible compromiso de la integridad del sistema. Dado que Apache Tomcat sirve como un componente crítico para aplicaciones y servicios web en muchos productos de Atlassian, esta vulnerabilidad representa un problema de seguridad significativo. Las organizaciones deben actualizar a las versiones 9.0.90, 10.1.25 o 11.0.0-M21 de Apache Tomcat para solucionar este problema. Estas versiones contienen parches de seguridad y actualizaciones que mitigan la vulnerabilidad identificada. Al aplicar estas actualizaciones, las organizaciones pueden mejorar la estabilidad y la seguridad de sus entornos de aplicaciones web, lo que reduce el riesgo de explotación. CVE-2024-37768: Escalada de privilegios en Atlassian Jira Atlassian Jira, una herramienta líder de seguimiento de proyectos y problemas, también se ha visto afectada por una vulnerabilidad crítica catalogada como CVE-2024-37768. Esta falla presenta un problema de escalada de privilegios, que potencialmente permite a usuarios no autorizados obtener permisos elevados dentro del sistema Jira. La vulnerabilidad afecta a varias versiones de Jira, lo que la convierte en una preocupación generalizada para las organizaciones que utilizan esta herramienta para la gestión y el seguimiento de proyectos. El Sistema de puntuación de vulnerabilidades comunes (CVSS) para CVE-2024-37768 es 9.1, lo que indica un alto nivel de riesgo. La explotación de esta falla de escalada de privilegios podría provocar acceso no autorizado a información confidencial, modificaciones no autorizadas a proyectos o interrupción de los flujos de trabajo de gestión de proyectos. Para abordar esta vulnerabilidad, las organizaciones deben actualizar a las últimas versiones de Jira. Atlassian ha publicado parches de seguridad y actualizaciones para remediar este problema, lo que garantiza que los usuarios con los privilegios adecuados estén correctamente autenticados y autorizados. La implementación de estas actualizaciones ayudará a proteger los entornos de Jira contra posibles ataques y a mantener la integridad de los procesos de gestión de proyectos. CVE-2024-40859: divulgación de información en Atlassian Confluence Confluence, otro producto de Atlassian ampliamente utilizado, ha sido identificado con una vulnerabilidad catalogada como CVE-2024-40859. Esta vulnerabilidad está relacionada con la divulgación de información, que podría exponer potencialmente datos confidenciales a personas no autorizadas. Las versiones afectadas de Confluence incluyen varias versiones, lo que la convierte en un problema crítico para las organizaciones que dependen de Confluence para el trabajo colaborativo y la gestión del conocimiento. El Sistema de puntuación de vulnerabilidades comunes (CVSS) para esta vulnerabilidad es 7.5, lo que la categoriza como de alto riesgo. El impacto potencial de esta falla de divulgación de información incluye acceso no autorizado a documentos confidenciales, comunicaciones internas y otra información sensible. Instancias previas de explotación Aparte de estas vulnerabilidades de Atlassian, la organización enfrentó la explotación de una vulnerabilidad RCE anterior (CVE-2023-22527). En enero de 2024, Cyble Research and Intelligence (CRIL) Labs informó sobre esta falla crítica. CRIL informó que los intentos de explotación activa de esta vulnerabilidad comenzaron el 26 de enero de 2024. La red Global Sensor Intelligence (CGSI) de Cyble observó actividades de escaneo dirigidas a instancias de Confluence en varios países, incluidos Estados Unidos, Alemania y China. Se identificaron más de 4000 instancias de Confluence expuestas, con cantidades significativas en EE. UU., Alemania, China y Rusia. Para abordar la vulnerabilidad, Atlassian recomendó actualizar Confluence Data Center y Server a las últimas versiones: 8.5.5 (LTS) o 8.7.2 solo para Data Center. Se recomendó a las organizaciones que realizaran auditorías de seguridad periódicas, aplicaran parches con prontitud e implementaran segmentación de red para mitigar los riesgos. La vulnerabilidad se originó a partir de fallas en la plantilla de velocidad text-inline.vm, que permitía a los atacantes eludir las restricciones de seguridad y ejecutar expresiones OGNL más allá del límite estándar de 200 caracteres. Se proporcionó información adicional a través del asesoramiento de seguridad de Atlassian y recursos de expertos en ciberseguridad como Picus Security y ProjectDiscovery. Estrategias y recomendaciones de mitigación Para abordar las vulnerabilidades identificadas en los productos de Atlassian, las organizaciones deben comenzar por actualizar a las últimas versiones del software. Estas actualizaciones incluyen parches de seguridad esenciales y correcciones para las vulnerabilidades en cuestión. Es fundamental que las organizaciones verifiquen periódicamente y apliquen estas actualizaciones con prontitud para mantener la protección contra amenazas potenciales. Además de las actualizaciones de software, es esencial implementar las mejores prácticas de seguridad integrales. Las organizaciones deben monitorear las actividades inusuales, configurar controles de acceso sólidos y aplicar mecanismos de autenticación sólidos para mejorar su postura de seguridad general. Estas medidas ayudan a prevenir el acceso no autorizado y mitigar el riesgo de explotación. También se recomiendan evaluaciones de seguridad periódicas y análisis de vulnerabilidades para identificar y abordar de forma proactiva posibles problemas de seguridad. La colaboración con profesionales de seguridad para realizar revisiones periódicas puede proporcionar información valiosa y ayudar a las organizaciones a mantenerse a la vanguardia de las amenazas emergentes. La formación y la capacitación del personal desempeñan un papel fundamental en el mantenimiento de la seguridad. Asegurarse de que los empleados sean conscientes de los riesgos asociados a las vulnerabilidades y conozcan las mejores prácticas para utilizar los productos de Atlassian puede reducir significativamente la probabilidad de que se produzcan infracciones de seguridad. Por último, las organizaciones deben establecer planes de copia de seguridad y recuperación eficaces. Estos planes son fundamentales para protegerse contra la pérdida de datos y garantizar la continuidad del negocio en caso de un incidente de seguridad o explotación de vulnerabilidades. Al prepararse para posibles problemas, las organizaciones pueden recuperarse rápidamente y minimizar las interrupciones. Conclusión La reciente catalogación de vulnerabilidades críticas de Atlassian por parte de CERT-In destaca la necesidad urgente de que las organizaciones prioricen las actualizaciones de seguridad. El boletín de agosto de 2024 reveló fallas significativas en varios productos de Atlassian, cada una de las cuales plantea riesgos sustanciales, como acceso no autorizado, interrupciones del servicio y exposición de datos. Si bien estas vulnerabilidades son graves, se pueden gestionar con actualizaciones oportunas y prácticas de seguridad sólidas. Se recomienda a las organizaciones que actualicen rápidamente sus sistemas afectados, apliquen los parches necesarios e implementen medidas de seguridad integrales. Las evaluaciones periódicas y la gestión proactiva de parches ayudarán a protegerse contra estas vulnerabilidades y fortalecerán la postura de seguridad general, garantizando la resiliencia contra amenazas potenciales y manteniendo la integridad operativa.