ツイッターのセキュリティ専門家SwiftOnSecurityが火曜日、エンタープライズソフトウェア企業Atlassianに影響を及ぼすゼロデイ脆弱性をうっかり公表したが、この欠陥はIBMのAsperaソフトウェアにも同様のものがあるかもしれない。
SwiftOnSecurity の Twitter アカウントは、Atlassian が Confluence クラウド サービス用の共通 SSL 証明書を使用してローカル サーバーに解決されるドメインを提供し、Atlassian Companion アプリが好みのローカル アプリケーションでファイルを編集し、そのファイルを Confluence に保存できるようにしたことを明らかにしました。
Confluence は、扱いにくいドメインを使用して、ブラウザ経由でコンパニオン アプリに接続しますhttps://atlassian-domain-for-localhost-connections-only.com。
この仕組みの問題点は、十分な技術的知識を持つ人なら誰でも SSL キーをコピーし、それを使用して中間者攻撃を実行し、攻撃者がアプリのトラフィックを悪意のあるサイトにリダイレクトできる可能性があることです。
GoogleのセキュリティエンジニアであるTavis Ormandy氏は、このアプリを使用している誰もがそのような攻撃を受ける可能性があることを認めた。
オーマンディ氏は次のように説明しています。「秘密鍵さえ入手すれば、このドメインをlocalhost以外のものに解決することは可能です。したがって、攻撃者ではなく信頼できるローカルサービスと通信しているという保証はありません。」
SwiftOnSecurity はこの問題を Atlassian に報告し、バグに対する CVE-2019-15006 を取得しました。
アトラシアンはThe Registerへのメールで、この問題を認識しており、解決に向けて積極的に取り組んでいると述べた。「証明書の失効を要請しており、顧客を保護するために他の技術的解決策が必要かどうかを検討しています」と、同社の広報担当者は述べた。
DevOpseryディスペンサーAtlassianの顧客がクラウドサブスクリプションの世界に適応
続きを読む
Twitter のディスカッションでは、StackApps のモデレータである Tim Stone 氏が、IBM の Aspera プラグイン クライアントがlocal.connectme.usクライアントとサーバー間の通信に同様のサーバー スキームを使用していることを指摘しました。
オーマンディ氏によると、事態はさらに悪化する可能性があるという。「事前に生成されたCA証明書と秘密鍵があり、それをシステムストアに追加すれば、事実上SSLが無効化されることになります」と彼は書いている。「これは*重大*な問題だと考えています」
ストーン氏によれば、現時点では IBM がその証明書をシステム ストアに追加する兆候はないという。
それにもかかわらず、オーマンディ氏は証明書の問題はlocal.connectme.us現実のものであり、証明書は取り消されるべきだと主張している。
The Register はIBM にコメントを求めたが、返答はなかった。®
追加更新
この記事が提出された後、IBMの広報担当者は、同社が6月にAspera Connect 3.7および3.8に影響を与えるサービス拒否(DoS)脆弱性に関するセキュリティ情報を公開していたことを明らかにした。「local.connectme.usお客様が環境のアップグレードを継続している間、下位互換性のためにこの脆弱性を残しておいたのです」と広報担当者は説明した。
また、 の証明書はlocal.connectme.us取り消されていることに注意してください。
