Atlassian XSS 취약점

개요

최근 아틀란시아 환경의 테스트를 진행하면서 몇 가지 기록해둔 정보를 공유하고자 합니다. 아틀란시아란 간단히 얘기해 개발한 프로젝트로 계획/관리 및 협업이 가능하여 다양한 직업군에서 사용되고, 기본적으로 업무에 대한 내용 공유가 가능합니다.

 

또한 일정, 파일, 등을 저장하여 사용할 수 있는 프로젝트 관리 소프트웨어이기 때문에 IT업종에서 근무하시는 분들이라면 한 번쯤은 사용해보시거나 들어보셨을 겁니다.

 

이런 오픈소스 플랫폼을 이용하다보면 사용의 편리성은 증가하지만 그만큼 공개될 수 있는 취약점의 가능성도 함께 증가할 수 있다는 단점이 존재합니다.

 

Issue Collector(CVE-2018-5230)

CVE-2018-5230의 넘버링을 부여받은 취약점으로 Jira Software에서 리스트업 된 Issue 들의 리스트들을 검색하여 볼 수 있는 기능이 존재합니다. 그중 게시날짜로 필터를 걸 수 있는 변수의 입력값 검증이 미흡한 부분이 존재합니다.

 

로그인을 수행후 검색 영역으로 들어오시면 검색할 수 있는 폼이 존재하며 각각의 필터를 걸어 원하는 데이터만 볼 수 있도록 제공하는 기능도 있습니다.

 

"More"를 선택하면 "Updated Data" 기능이 존재합니다. 이부분을 선택하여 확장 기능이 나오도록 해주시면 됩니다.

 

"In range" 범위에는 원하는 값을 입력하여 출력이 되게끔 하는 기능이지만 다른 포인트 영역들에 비해 비교적 사용자의 입력 값을 신뢰하는 문제가 존재합니다.

 

<img src=x onerror=prompt(cookie)>

입력 값을 검증하지 않는 In range 변수에 넣어 전달해보면 별도의 예외처리를 진행하지 않고 그대로 삽입됩니다.

 

비록 POST 기반의 XSS이기 때문에 파워풀한 공격 시나리오를 하기에는 구상해야 될 부분이 좀 더 존재합니다. 하지만 스크립트에 사용되는 구문을 예외처리하지 않고 그대로 사용한다는 것 분명한 취약점인 것은 맞습니다.

 

HTML Include on Macro(CVE-2020-14175)

Atlassian의 Confluence를 설치해보시면 아시겠지만 기본적으로 HTML macros 기능에 대해 기본적으로 "비활성화"된 상태로 유지되어 있습니다. 하지만 내부적으로 잠시 사용하기 위해 활성화해두고 계속 유지시켜둔다면 이를 악용하여 침해사고가 발생할 가능성이 존재합니다.

 

1. 톱니바퀴 > Manage apps.
2.Select System from the drop down and search for the Confluence HTML Macros system app.
3.Expand the listing and enable the html (html-xhtml) module.

테스트 진행을 위해 활성화로 해두겠습니다.

 

Creat를 누르면 페이지 만들기가 생성됩니다. 여기서 "{"를 입력해 매크로 기능이 나타나도록 해주시고 "Open macro browse"로 이동하겠습니다.

 

검색창에 "html"을 입력하면 -> 이전에 활성화시켜둔 html include 기능이 나타납니다. 해당 기능은 외부의 URL 리소스를 불러와 issue에 생성된 페이지 내부에 삽입되는 형태를 가집니다.

 

참고로 html include 기능을 활성화해두어도 기본적으로 외부 리소스에 대해 Whitelist 기반 정책으로 관리되어 외부의 URL리소스를 가져올 수 없습니다. 만약 편의를 위해 이 정책을 비활성화하여 사용하게 된다면 외부의 모든 리소스를 가져오게 되어 보안상 이슈가 발생할 수 있습니다.

 

게시글을 생성 후 열람해보면 스크립트가 실행됩니다. 현재는 보안 헤더가 구성되어 있기에 로그인 세션정보가 출력되지 않게끔 되어 있지만 클라이언트 환경에서 스크립트가 실행된다는 점에서 다양한 시도(리다이렉트를 통한 피싱 연계, TRACE를 통한 반사 등)를 할 수 있기 때문에 조치해야 될 가치는 충분합니다.

 

대응방안

해당 문제를 조치하기 위해 입력 값을 검증하도록 해주시거나 보안패치가 진행된 버전을 사용하시는 것이 좋습니다. 특이사항으로 영향이 없는 버전임에도 불구하고 테스트해본 결과 영향을 받는 경우가 존재했습니다. 그러므로 버전 영향의 유무를 떠나 구현 방법이 간단하니 테스트를 직접 해보시는 것을 추천드립니다.

<Issue Collector>
1. 입력 값 예외처리 작업
2. 패치된 버전 사용(7.10.0 7.9.2 7.7.4 7.8.4 7.6.7)

<HTML Include on Macro>
//HTML include 기능 비활성화
1.Manage apps 이동
2.Drop Down에서 System 선택
3.Confluence HTML Macro 검색
4. 목록을 확장 후 “html-include(html-include-xhtml)” 모듈 비활성화

//include URL 화이트리스트 관리
1.General Configuration의 Whitelist 선택
2. 허용할 URL 표현식 입력
3. 표현식 유형 선택(CORS 요청을 허용해야 될 경우 “Allow Incoming” 선택”
4.Choose Add 선택