Atlassian REST API 취약점

개요

최근 침해사고 동향(2021 OWASP포함)을 유심히 보시면 어떤 문제로 민감한 정보가 유출이 되는지 추측할 수 있습니다. 대표적으로 엔드포인트(End-Point)에 대한 보안이 제대로 갖춰져있지 않은 상태로 서비스가 제공되어 공격자들이 이를 악용하여 표면상 접근할 수 없는 영역에 무단으로 직접 접근 사례가 다수 발생하고 있습니다.

 

우선 API 는 "Application Programming Interface"의 약자로 웹어플리케이션에서 데이터를 주고받고 이를 어떤 방식으로 요청하고 처리할지에 대해 규격을 정해놓은 인터페이스라고 보시면 됩니다. 그리고 API 전송에는 2가지의 방식이 존재합니다.(SOAP/REST) REST방식은 "JSON"방식을 통해 데이터를 처리하기에 SOAP보다 속도면에서 좀 더 우위를 앞서기에 사용빈도가 높습니다.

 

오픈소스인 아틀란시아 플랫폼의 경우에도 이러한 취약점 있습니다. 일반적으로 오픈소스 형태로 제공이 되는 플랫폼은 액세스 접근이 미흡한 End-Point 영역을 식별하기란 그리 어려운 문제는(Fuzzing or IDEA 디버깅) 아니기 때문에 자주 공개되는 것 같습니다.

 

Group and User Picker(CVE-2019-8449)

아틀란시아 지라의 8.4.0 이전 버전을 사용할 경우 엔드포인트인 /rest/api/latest/groupuserpicker 리소스를 통해 원격에서 공격자가 사용자 이름을 열거할 수 있는 취약점입니다.

 

취약점을 테스트하기 전에 해당하는 버전인지 정보수집이 필요합니다. 페이지 제일 하단 라이선스 영역을 보시거나 HTML 코드 내부를 확인하시면 됩니다.

 

 HTML코드를 살펴보다 보면 /rest/api/ 의 위치가 확인됩니다. 1.0 이후부터는 상대 주소고 제일 앞단 /rest/api는 절대 경로인 것으로 추측됩니다.

 

아틀란시아 뿐만 아니라 대부분의 기업에서 오픈 API를 제공하고 있습니다. 리소스에 따른 API 기능을 확인하고 싶으시면 보통 개발자들이 확인할 수 있는 developer 사이트에 명시되어 있습니다.

 

/rest/api/ 와 관련된 기능들을 살펴보다가 사용자의 이름과 해당하는 그룹을 확인할 수 있는 리소스가 존재합니다. "groupuserpick"의 리소스에는 이름과 프로필, 이메일 등 외부에 노출되지 말아야 할 정보들이 포함돼있지만 이게 오픈형태의 API라는 점에서 취약합니다.

 

groupuserpicker 리소스에 대한 쿼리호출 방법입니다. /rest/api/ 와 groupuserpicke는 절대 주소이며 사이의 버전으로 확인되는 숫자는 상대적인 주소입니다. 만약 상대 주소를 알기가 어렵다면 개발 페이지를 좀 더 뒤져보시거나 아니면 GHDB 키워드를 통해 외부에 존재하는 모든 사이트들을 참고하시면 추측이 가능하시겠죠

 

이제 공격자의 입장에서 테스트를 해보겠습니다. 표면상에는 당연히 민감한 정보를 전달하는 End-Point영역은 노출되지 않습니다. 만약 쿼리전달 방식이면 프록시를 통해 FORM형태로 전달하면 되겠지만 GET방식을 사용하기에 URL 직접 접근이 가능합니다.

 

우선적으로 엔드포인트에 접근이 가능한지 매개변수를 제외하고 접근해봤습니다.사용자의 이름을 입력해야 되는 파라미터(query)가 존재하지 않아 에러가 발생했다는 것으로 보아 원격지에서 호출이 가능할 것으로 보입니다.

 

http://atlassian.com/rest/api/latest/groupuserpicker?query={Username}

임의 사용자 이름 쿼리 파라미터에 담아 전송해보면 사용자의 이름과 소속한 그룹, 이메일 등 유추할 수 없는 추가정보들을 json 형식으로 열거하여 브라우저 화면에 나타내 주고 있습니다. 만약 존재하지 않는 사용자의 이름을 열거할 경우 위처럼 빈공란 또는 "0"을 반환하게 됩니다.

 

유효한 계정으로 호출을 해보면 등록된 정보들을 출력해주게 됩니다. 이를 토대로 직접적으로 바로 영향이 발생하진 않지만 획득한 ID, Email을 통한 패스워드 BruteForce, 피싱 이메일 발송 등 여러 시나리오적인 침투 공격에 좋은 밑거름이 될 가능성이 있습니다.

 

Burp의 인트루더기능을 이용하거나 Python 자동화를 진행하면 유효한 계정들을 추측할 수 있습니다. 의뢰받은 사이트를 대상으로 확인해보니 guleum 또는 GULEUM, ZONE, administrator 빼고는 모두 유효한 계정들로 확인됩니다.

 

Username Enumerator/Validator(CVE-2020-14181)

Atlassian Jira 서버 및 Data Center에서 인증되지 않은 사용자가 /ViewUserHover.jspa 엔드포인트에 정보 공개 취약점을 악용하여 존재하는 사요자들을 열거할 수 있는 취약점입니다.

 

<취약한 버전>
7.13.6 이전
8.0.0 ~ 8.5.7 이전
8.6.0 ~ 8.12.0 이전

아틀라시안의 버전을 식별하여 취약점이 존재하는 버전인지 아닌지를 1차적으로 확인합니다. 현재 버전은 7.0.4로 취약점에 노출이되어 있는 버전을 사용하고 있습니다.

 

만약 공격벡터를 공개하지 않았을 경우에는 Github에 올려진 공격코드를 보시거나 EPDB(Exploit DataBase) 쪽을 찾아보시면 도움이 됩니다. 현재 공격 벡터 는 /secure/ViewUserHover.jsp이며 매개변수는 "username"을 사용하여 리소스를 청합니다.

 

로그인이 수행되지 않은 공격자 환경에서 URL 직접 접근을 해보시면 위와 같은 의문의 링크가 표시됩니다. 사각형 영역으로 보아 사용자의 프로필이 출력되는 영역으로 판단됩니다.

 

유효한 사용자를 호출해보면 위와 같이 네이밍이 매칭되어 그의 따른 정보를 화면에 출력해주게 됩니다. 이러한 호출 방식은 오픈 형태이며 사전에 로그인 작업이 필요 없기 때문에 외부의 공격자가 무단으로 요청할 가능성이 높습니다.

 

유효한 사용자와 아닌 사용자의 차이점을 확인하기 위해 파일형태로 저장해보겠습니다.

 

위처럼 존재하는 사용자일 경우 <div class="user-hover-details"> 영역에 프로필 링크가 담기게 되고 아닐 경우에는 "User does not exists:"를 출력하게 됩니다. 이러한 차이점이 명확할 경우에는 자동화 공격을 수행하여 내부에 존재하는 다수의 사용자들을 열거할 수 있습니다.

 

테스트를 진행하기 위해 약 27명의 사용자 리스트들을 만들어두겠습니다.

 

username 변수에 사용자 이름을 담아 하나씩 요청하여 <a id="avatar-full-name-link 가 존재할 경우 유효한 사용자로 판단하여 위처럼 콘솔에 나타나게 됩니다. 자동화코드는 아래의 주소를 참고하시면 됩니다.

https://raw.githubusercontent.com/Rival420/CVE-2020-14181/main/cve-2020-1481.py

 

대응방안

<Group and User Picker>
해당 취약점을 예방하기위해 8.4.0 이상의 버전으로 업데이트 하는것이 좋지만 만약 패치가 불가능한 상황이라면 해당 엔드포인트에 접근 시 톰캣에서 403(Forbidden)을 반환하도록 차단하는 것이 좋습니다.
<jira-installation-directory>/atlassian-jira/WEB-INF/urlrewrite.xml 파일에 아래의 코드 추가
<rule>
        <condition type="session-attribute" name="seraph_defaultauthenticator_user" operator="notequal">.    </condition>
        <from>^(?s)/rest/api/.*/groupuserpicker</from> //엔드포인트 지정
        <set type="status">403</set> <to>null</to>
</rule>

Result --> 보안패치가 진행된 버전에서 위의 공격을 시연할 경우 응답 바디에 아래의 메시지가 출력되면서 액세스 불가 You are not authenticated. Authentication required to perform this operation.

<Username Enumerator/Validator>
수정된 버전으로 업데이트하거나 urlrewrite.xml에 엔드포인트 지정하여 접근이 불가능하도록 설정
7.13.16
8.5.7
8.12.0