- Регистрация
- 8 Янв 2019
- Сообщения
- 527
- Реакции
- 71
- Баллы
- 118
Ищем уязвимости на сайте Министерства обороны США, используя веб-приложение Jira и набор инструментов для анализа безопасности.
Во время сбора информации о военных ресурсах в рамках Bug Bounty Department of Defense (DoD) специалисты отметили использование популярного веб-приложения Jira, предназначенного для отслеживания багов и задач. Вскоре внимание привлёк твит с обсуждением эксплуатации SSRF-уязвимости в Jira. На базе этих данных началось исследование.
Первый этап включал проверку переменной consumerUri через Google. Из блога Бретта Буэрхауса стало ясно: любой экземпляр AWS может запрашивать IP и возвращать информацию об учётной записи. Логичным шагом стало обращение к конечной точке метаданных AWS. Получить ключи доступа не удалось из-за недостатка прав, поэтому был выбран альтернативный путь — поиск других конфиденциальных данных.
При этом нарушать правила DoD Bug Bounty никто не собирался. Главная цель — поиск уязвимостей ради их устранения. После фиксации первых багов был отправлен репорт, принятый и оценён как средний по уровню угрозы. С разрешения разработчиков начались попытки эксплуатации.
Сканирование портов выявило доступность служб:
— 21 (FTP)
— 22 (SSH)
— 80 (HTTP)
— 443 (HTTPS)
— 8080 (proxy)
Данные добавили в отчёт для HackerOne. Дополнительно напомнили о докладе Джеймса Кетли «Cracking the Lens: Targeting HTTP’s Hidden Attack-Surface», где шла речь о получении доступа к внутренним сервисам DoD. Проверка подтвердила: через SSRF можно взаимодействовать с NIPRnet, внутренней сетью Министерства обороны.
На втором исследуемом сайте поведение отличалось: ошибок было меньше, но удалось отследить Blind SSRF по времени отклика портов. Дополнительно использовался Burp Collaborator для анализа заголовков. Оказалось, что в запросах утекали внутренние IP через «X-Forwarded-For».
После репортов уровень Impact был повышен до «критично». Пересмотр старых отчётов также позволил повысить их оценку. Среди найденных техник были:
— CONNECT-запросы для перечисления служб;
— злоупотребление Host-заголовком для обращения к внутренним IP;
— Blind SSRF с выявлением скрытых сервисов.
Лайфхаки SSRF-эксплуатации:
В ряде случаев ошибки приводили к утечке конфиденциальной информации (IP баз данных, версии ПО, плагины, ОС). Иногда на сайтах находились ссылки на другие инстансы Atlassian, где повторялись уязвимости.
Заключение
Две устаревшие версии Jira оказались уязвимыми к SSRF. Это позволило бы атакующему:
— просматривать метаданные AWS (ID аккаунта, внутренние IP, параметры серверов);
— взаимодействовать с внутренними сетями Министерства обороны США;
— потенциально скомпрометировать конфиденциальные данные и критические сервисы.
Программа Bug Bounty DoD поощряет исследователей, но главная цель остаётся прежней: уязвимости ищутся, чтобы закрывать их, а не использовать во вред.
Во время сбора информации о военных ресурсах в рамках Bug Bounty Department of Defense (DoD) специалисты отметили использование популярного веб-приложения Jira, предназначенного для отслеживания багов и задач. Вскоре внимание привлёк твит с обсуждением эксплуатации SSRF-уязвимости в Jira. На базе этих данных началось исследование.
Первый этап включал проверку переменной consumerUri через Google. Из блога Бретта Буэрхауса стало ясно: любой экземпляр AWS может запрашивать IP и возвращать информацию об учётной записи. Логичным шагом стало обращение к конечной точке метаданных AWS. Получить ключи доступа не удалось из-за недостатка прав, поэтому был выбран альтернативный путь — поиск других конфиденциальных данных.
При этом нарушать правила DoD Bug Bounty никто не собирался. Главная цель — поиск уязвимостей ради их устранения. После фиксации первых багов был отправлен репорт, принятый и оценён как средний по уровню угрозы. С разрешения разработчиков начались попытки эксплуатации.
Сканирование портов выявило доступность служб:
— 21 (FTP)
— 22 (SSH)
— 80 (HTTP)
— 443 (HTTPS)
— 8080 (proxy)
Данные добавили в отчёт для HackerOne. Дополнительно напомнили о докладе Джеймса Кетли «Cracking the Lens: Targeting HTTP’s Hidden Attack-Surface», где шла речь о получении доступа к внутренним сервисам DoD. Проверка подтвердила: через SSRF можно взаимодействовать с NIPRnet, внутренней сетью Министерства обороны.
На втором исследуемом сайте поведение отличалось: ошибок было меньше, но удалось отследить Blind SSRF по времени отклика портов. Дополнительно использовался Burp Collaborator для анализа заголовков. Оказалось, что в запросах утекали внутренние IP через «X-Forwarded-For».
После репортов уровень Impact был повышен до «критично». Пересмотр старых отчётов также позволил повысить их оценку. Среди найденных техник были:
— CONNECT-запросы для перечисления служб;
— злоупотребление Host-заголовком для обращения к внутренним IP;
— Blind SSRF с выявлением скрытых сервисов.
Лайфхаки SSRF-эксплуатации:
В ряде случаев ошибки приводили к утечке конфиденциальной информации (IP баз данных, версии ПО, плагины, ОС). Иногда на сайтах находились ссылки на другие инстансы Atlassian, где повторялись уязвимости.
Заключение
Две устаревшие версии Jira оказались уязвимыми к SSRF. Это позволило бы атакующему:
— просматривать метаданные AWS (ID аккаунта, внутренние IP, параметры серверов);
— взаимодействовать с внутренними сетями Министерства обороны США;
— потенциально скомпрометировать конфиденциальные данные и критические сервисы.
Программа Bug Bounty DoD поощряет исследователей, но главная цель остаётся прежней: уязвимости ищутся, чтобы закрывать их, а не использовать во вред.