Zdroj: The Register
SwiftOnSecurity je veľmi populárny účet na službe Twitter, ktorý sa okrem obdivu k speváčke Taylor Swift vyjadruje aj ku kybernetickej bezpečnosti. V utorok sa osoba za týmto účtom čudovala nad doménou https://atlassian-domain-for-localhost-connections-only.com, ktorá sa objavila v logoch na systémoch, ktoré spravuje. To rozbehlo sériu zaujímavých udalostí.
Do diskusie sa zamiešal známy bezpečnostný výskumník Tavis Ormandy z Google Project Zero. Vyhlásil, že SwiftOnSecurity si má požiadať od Atlassianu CVE číslo, lebo práve zverejnila zero-day. Chyba naozaj dostala číslo CVE-2019-15006. O čo v tomto prípade šlo?
Atlassian má cloud produkt Confluence. Na desktope používa dodatočnú pomocnú aplikáciu. Keď ľudia kliknú na niečo vo web aplikácii, tak sa im to otvorí cez desktopovú aplikáciu kde to môžu editovať a potom sa súbory uložia znova do cloudu. Web aplikácia používa na pripojenie do desktop aplikácie doménu https://atlassian-domain-for-localhost-connections-only.com, ktorá je vlastne localhost.
Keďže Atlassian sa chcel vyhnúť bezpečnostným upozorneniam v prehliadačoch, tak si pre túto doménu požiadal o riadny certifikát (na localhost by ho nedostal). Problém je, že tým pádom musí mať desktopová aplikácia vložený privátny kľúč. Extrahovať ho nie je problém a presmerovať doménu emulujúcu localhost tiež nie je ťažké. Tento spôsob umožňoval MitM (Man-in-the-middle) útok na komunikáciu Confluence.
Atlassian pracuje na vyriešení problému a medzitým bol certifikát pre horeuvedenú doménu zneplatnený.
Obrázok: Atlassian
