cve-2019-11581 Atlassian Jira未授权服务端模板注入漏洞

柔情只为你懂 2021-09-03 09:36 472阅读 0赞

### 漏洞描述 ###

Atlassian Jira是澳大利亚Atlassian公司的一套缺陷跟踪管理系统。该系统主要用于对工作中各类问题、缺陷进行跟踪管理。

Atlassian Jira Server和Jira Data Center存在服务端模板注入漏洞，成功利用此漏洞的攻击者可在运行受影响版本的Jira Server或Jira Data Center系统上执行任意命令。

目前PoC已放出，建议受影响的客户尽快升级或采用临时缓解措施。

*  第一种情况，Jira服务端已配置好SMTP服务器，且“联系管理员表单”功能已开启(默认配置不开启)；
 *  第二种情况，Jira服务端已配置好SMTP服务器，且攻击者具有"JIRA管理员"的访问权限。在第一种情况下，“联系管理员表单”功能开启的情况下，攻击者可以未经任何认证，通过向`/secure/ContactAdministrators.jspa`发起请求利用此漏洞。在第二种情况下，攻击者具有"JIRA 管理员"的访问权限下可通过`/secure/admin/SendBulkMail!default.jspa`利用此漏洞。

### 影响版本 ###

*  4.4.x
 *  5.x.x
 *  6.x.x
 *  7.0.x
 *  7.1.x
 *  7.2.x
 *  7.3.x
 *  7.4.x
 *  7.5.x
 *  7.6.x < 7.6.14
 *  7.7.x
 *  7.8.x
 *  7.9.x
 *  7.10.x
 *  7.11.x
 *  7.12.x
 *  7.13.x < 7.13.5
 *  8.0.x < 8.0.3
 *  8.1.x < 8.1.2
 *  8.2.x < 8.2.3

### 修复版本 ###

*  7.6.14
 *  7.13.5
 *  8.0.3
 *  8.1.2
 *  8.2.3

### 修复建议 ###

升级到修复版本（7.6.14、7.13.5、8.0.3、8.1.2、8.2.3）。

### 漏洞简析 ###

第二种利用场景前提是拿到Jira管理员的权限，利用条件较难满足，这里主要分析第一种情况。原因在于`atlassian-jira/WEB-INF/classes/com/atlassian/jira/web/action/user/ContactAdministrators` 未对Subject（邮件主题）处进行过滤，用户传入的邮件主题被当作template（模板）指令执行。在任何一种情况下，成功利用此漏洞的攻击者都可在运行受影响版本的Jira Server或Jira Data Center的系统上执行任意命令。

第一种，未授权代码执行利用条件：Jira已配置好SMTP服务器，且需开启“联系网站管理员表单”功能。（从WEB界面设计上看，实际上如果没配置SMTP服务器，无法开启此功能）

代码追踪

以Jira Server 7.13.0版本为例。

HTTP请求中的payload如何传入到服务端的subject对象中？

在`com.atlassian.jira.config.webwork.JiraActionFactory$SafeParameterSettingActionFactoryProxy#getActionImpl`中调用`setActionParameters`方法，通过

webwork.action.ActionContext.getParameters();

拿到HTTP请求的各个参数。

![图片][2a3e667abcfd07ed3a0f18c2f84cdefd.png]

参考：https://docs.atlassian.com/DAC/javadoc/opensymphony-webwork/1.4-atlassian-17/reference/webwork/action/ActionContext.html 通过反射调用`com.atlassian.jira.web.action.user.ContactAdministrators`对象的`setSubject(java.lang.String)`方法，并将HTTP请求中的Subject参数传入进去。 ![图片][fb1087d5f4efb78a49b0b45fe3b3396f.png]![图片][77148efe1f983dea4171a9e6115c3bc6.png]设置完之后，`com.atlassian.jira.web.action.user.ContactAdministrators`对象的subject属性已被设置成我们的payload。

payload如何传入到邮件对象的Subject中被Velocity模板引擎解析？

部分调用过程为：

...
    => com.atlassian.jira.web.action.user.ContactAdministrators#doExecute
    => com.atlassian.jira.web.action.user.ContactAdministrators#send
    => com.atlassian.jira.web.action.user.ContactAdministrators#sendTo
    => com.atlassian.jira.mail.builder.Email.Builder#withSubject(用户可控的Subject模板)
    => com.atlassian.jira.mail.builder.Email.Builder#renderLater
    ...

看具体代码

![图片][b289f19034d800cc055a627673f3d3f9.png]

protected String doExecute() throws Exception {        if (!this.getShouldDisplayForm()) { //若“联系管理员表单”功能已开启，则进入else逻辑
                return "modebreach";
            } else {            this.send();            return this.getRedirect("/secure/MyJiraHome.jspa");
            }
        }    public boolean getShouldDisplayForm() {        //判断“联系管理员表单”功能是否开启
            return this.jiraContactHelper.isAdministratorContactFormEnabled();
        }

在send方法中，遍历系统所有管理员账号，看是否存在已激活的管理员，若至少有一个（`administrator.isActive()`），则传入该管理员对象，调用：`this.sendTo(administrator)`。 ![图片][73f0e49e2ddc302fa6f7d18a5b7d4a46.png]

public void send() throws MailException {
            Collection<ApplicationUser> administrators = this.userUtil.getJiraAdministrators();        // 遍历系统所有管理员账号，看是否存在已激活的管理员
            Iterator var2 = administrators.iterator();        while(var2.hasNext()) {
                ApplicationUser administrator = (ApplicationUser)var2.next();            if (administrator.isActive()) {//若至少有一个
                    this.sendTo(administrator);//传入该管理员对象
                }
            }
    
        }

在sendTo中，

private void sendTo(ApplicationUser administrator) throws MailException {        try {
                Map<String, Object> velocityParams = Maps.newHashMap();            //from为客户端指定的邮箱地址，会校验邮箱格式
                velocityParams.put("from", this.replyTo);
                velocityParams.put("content", this.details);
                velocityParams.put("padSize", PADSIZE);            //获取该传入管理员的email地址，作为收件邮箱
                Email email = new Email(administrator.getEmailAddress());
                email.setReplyTo(this.replyTo);            //将payload传入邮件发送队列
                MailQueueItem item = (new EmailBuilder(email, this.getMimeType(administrator), I18nBean.getLocaleFromUser(administrator))).withSubject(this.subject).withBodyFromFile(this.getTemplateDirectory(administrator) + "contactadministrator.vm").addParameters(velocityParams).renderLater();            this.mailQueue.addItem(item);
            } catch (Exception var5) {            this.log.error("Error sending JIRA Administrator email", var5);
            }
    
        }

`com.atlassian.jira.mail.builder.EmailBuilder`对象 通过`withSubject(this.subject)`方法传入用户指定的模板（template）命令，作为Subject（主题）， ![图片][e758cdfaedd2e44c202049f50b7df04e.png]![20201220221458924.gif][]

这里的payload是subjectTemplate，一个`TemplateSource$Fragment`对象。然后调用`renderLater()`，在`atlassian-jira/WEB-INF/classes/com/atlassian/jira/mail/builder/EmailBuilder`中，

public MailQueueItem renderLater() {        return new RenderingMailQueueItem(this.createEmailRenderer());
        }    
        private EmailRenderer createEmailRenderer() {        return new EmailRenderer(this.email, this.subjectTemplate, this.bodyTemplate, this.attachments, this.templateParameters);
        }

将payload传入，得到一个`com.atlassian.jira.mail.builder.EmailRenderer`对象，然后把这个EmailRender对象作为参数构造`com.atlassian.jira.mail.builder.Email.RenderingMailQueueItem`对象。而RenderingMailQueueItem继承了`com.atlassian.mail.queue.SingleMailQueueItem`类。在其构造器中，调用父类构造器 ![20201220221458925.gif][]![图片][f14122c8bb1a10f5216b5aa3ff2e36de.png]

SingleMailQueueItem 又继承了AbstractMailQueueItem类。 ![图片][a5157fc4fa68edb1ffb4d3139b79fa20.png]

至此，一个`RenderingMailQueueItem`对象已经构造完成, 得到了一个`com.atlassian.mail.queue.MailQueueItem`（这是一个接口）对象，然后将该对象加入到邮件发送队列`com.atlassian.mail.queue.MailQueue`中。轮到这个对象对应的邮件发送时，才会渲染这个待发邮件的Subject（主题），所以可能会有一定的延迟。

邮件发送线程

在启动邮件队列的线程中，调用栈如下：

renderEmailSubject:87, EmailRenderer (com.atlassian.jira.mail.builder)
    render:149, EmailRenderer (com.atlassian.jira.mail.builder)
    send:29, RenderingMailQueueItem (com.atlassian.jira.mail.builder)
    sendBufferUnderLock:103, MailQueueImpl (com.atlassian.mail.queue)
    sendBuffer:56, MailQueueImpl (com.atlassian.mail.queue)
    apply:51, JiraMailQueue$1 (com.atlassian.jira.mail)
    apply:48, JiraMailQueue$1 (com.atlassian.jira.mail)
    runWithStaticBaseUrl:110, DefaultVelocityRequestContextFactory (com.atlassian.jira.util.velocity)
    runWithStaticBaseUrl:50, DefaultBaseUrl (com.atlassian.jira.util)
    sendBuffer:48, JiraMailQueue (com.atlassian.jira.mail)
    run:21, MailQueueService (com.atlassian.jira.service.services.mail)
    run:68, JiraServiceContainerImpl (com.atlassian.jira.service)
    runService:62, ServiceRunner (com.atlassian.jira.service)
    runServiceId:44, ServiceRunner (com.atlassian.jira.service)
    runJob:32, ServiceRunner (com.atlassian.jira.service)
    runJob:153, JobLauncher (com.atlassian.scheduler.core)
    launchAndBuildResponse:118, JobLauncher (com.atlassian.scheduler.core)
    launch:97, JobLauncher (com.atlassian.scheduler.core)
    launchJob:443, CaesiumSchedulerService (com.atlassian.scheduler.caesium.impl)
    executeLocalJob:410, CaesiumSchedulerService (com.atlassian.scheduler.caesium.impl)
    executeQueuedJob:388, CaesiumSchedulerService (com.atlassian.scheduler.caesium.impl)
    consume:285, CaesiumSchedulerService$1 (com.atlassian.scheduler.caesium.impl)
    consume:282, CaesiumSchedulerService$1 (com.atlassian.scheduler.caesium.impl)
    executeJob:65, SchedulerQueueWorker (com.atlassian.scheduler.caesium.impl)
    executeNextJob:59, SchedulerQueueWorker (com.atlassian.scheduler.caesium.impl)
    run:34, SchedulerQueueWorker (com.atlassian.scheduler.caesium.impl)
    run:745, Thread (java.lang)

主要看前面三个，

renderEmailSubject:87, EmailRenderer (com.atlassian.jira.mail.builder)render:149, EmailRenderer (com.atlassian.jira.mail.builder)send:29, RenderingMailQueueItem (com.atlassian.jira.mail.builder)

在`RenderingMailQueueItem`的send方法中，调用了EmailRender的`render`方法 ![图片][0bdbba2af8be2a504f7ba5055ab0df75.png]

在`atlassian-jira/WEB-INF/classes/com/atlassian/jira/mail/builder/EmailRenderer`中：

render
    =>renderEmailSubject
    =>getTemplatingEngine().render(this.subjectTemplate).applying(contextParams).asPlainText();

使用默认的模板引擎对payload（Velocity模板）进行解析。

> 注：我们的payload对象`subjectTemplate`是一个`com.atlassian.jira.template.TemplateSource$Fragment`对象，通过之前的EmailRender的`withSubject(this.subject)`方法传入。而EmailRender的subject私有成员变量是通过反射调用`ContactAdministrators`的`setSubject()`方法从HTTP请求中传入（前面已分析）。

![图片][8a14a63dea68c96b7d4b48eabde54527.png]

先是`getTemplatingEngine()`得到一个`com.atlassian.jira.template.velocity.DefaultVelocityTemplatingEngine`对象，然后调用`render()`方法： ![20201220221458929.gif][]![20201220221458926.gif][]调用`applying`生成一个`org.apache.velocity.VelocityContext`对象。 ![20201220221458928.gif][]调用

asPlainText()
    =>asPlainText(StringWriter)
    =>toWriterImpl()
    =>writeEncodedBodyForContent()
    =>VelocityEngine.evaluate()

![图片][7af0e454f848e47ed3fd484597e36f54.png]

其中fragment.getContent()就是我们的payload，传入进writeEncodedBodyForContent方法的第二个参数 ![图片][53b68006475544bf3bf9f02f3826f3a2.png]

再作为VelocityEngine\#evaluate()的第四个参数，在操作系统上成功执行命令。 ![图片][2862f08da1777414626bb51ca950aa97.png]

具体到Velocity的API调用栈可以在catalina日志里看到。 ![图片][fa36c1a2f63ee434a6bfe6272fc3c9f1.png]

下图显示启动的计算器进程为Jira的子进程。 ![20201220221458933.gif][]

### ![图片][a11c0ed81ef25f440e1e325794cbda3a.png] ###

## ##

### 漏洞修复 ###

下载7.13.5版本代码，对比`atlassian-jira/WEB-INF/classes/com/atlassian/jira/web/action/user/ContactAdministrators.java`文件

![图片][a64d43a25aefe209d7c02436e036182b.png]

虽然用户输入的Subject为恶意payload，作为参数传进了 `atlassian-jira/WEB-INF/classes/com/atlassian/jira/web/action/user/ContactAdministrators`对象， ![20201220221458933.gif][]但是其subjectTemplate为硬编码的模板`$subject`，并没有将用户传入的payload直接传入这里的withSubject方法。 ![图片][d7c863f376e14e13e07003b37da72306.png]

于是无法在这里触发。

## ##

### Demo ###

无需认证触发

实际触发时间可能为几秒到几十秒（终于录屏到一个快的作为演示...）

![图片][645911b7811cc5dbcf3eca563c0cac16.gif]

后台管理员权限触发

![图片][b72b690997638d11ae634310ef8efd5b.gif]

## ##

### 缓解措施 ###

若无法及时升级Jira，可采取以下缓解措施：

*  1、禁用”联系网站管理员“功能。设置=> 系统=> 编辑设置=> 联系管理员表单处选择“关”，然后点击最下面的“更新”保存设置。具体操作方式参考：https://confluence.atlassian.com/adminjiraserver/configuring-the-administrator-contact-form-974375905.html\#Configuringtheadministratorcontactform-DisablingtheContactAdministratorsForm

验证生效方法：访问`/secure/ContactAdministrators!default.jspa` 出现：“您的Jira管理员尚未配置此联系表。”或“Your Jira administrator has not yet configured this contact form”。 ![图片][13122d7660c431c8c1acb8a452a99fdb.png]

*  2、并且，禁止对`/secure/admin/SendBulkMail!default.jspa`的访问。

### 参考 ###

*  https://confluence.atlassian.com/jira/jira-security-advisory-2019-07-10-973486595.html
 *  https://jira.atlassian.com/browse/JRASERVER-69532

[2a3e667abcfd07ed3a0f18c2f84cdefd.png]: /images/20210728/754160319d864b87b59d6a6274888144.png
[fb1087d5f4efb78a49b0b45fe3b3396f.png]: https://img-blog.csdnimg.cn/img_convert/fb1087d5f4efb78a49b0b45fe3b3396f.png
[77148efe1f983dea4171a9e6115c3bc6.png]: /images/20210728/fd3cda7b055649dc89a6049ed8f9da18.png
[b289f19034d800cc055a627673f3d3f9.png]: /images/20210728/395cb6c9b858405895aa6e3d53e03891.png
[73f0e49e2ddc302fa6f7d18a5b7d4a46.png]: /images/20210728/510f47834e7f4068b3dff73a85ab6052.png
[e758cdfaedd2e44c202049f50b7df04e.png]: https://img-blog.csdnimg.cn/img_convert/e758cdfaedd2e44c202049f50b7df04e.png
[20201220221458924.gif]: /images/20210728/4feaeaeee7ad4cc5ac43406d68eaeeb6.png
[20201220221458925.gif]: https://img-blog.csdnimg.cn/20201220221458925.gif
[f14122c8bb1a10f5216b5aa3ff2e36de.png]: https://img-blog.csdnimg.cn/img_convert/f14122c8bb1a10f5216b5aa3ff2e36de.png
[a5157fc4fa68edb1ffb4d3139b79fa20.png]: /images/20210728/4aada720ca774b4dbf2f95f994b251fb.png
[0bdbba2af8be2a504f7ba5055ab0df75.png]: /images/20210728/983654e3ecf8424daad1866a417e5ec0.png
[8a14a63dea68c96b7d4b48eabde54527.png]: /images/20210728/480c01d30e2849eebecd8116d65c736c.png
[20201220221458929.gif]: https://img-blog.csdnimg.cn/20201220221458929.gif
[20201220221458926.gif]: https://img-blog.csdnimg.cn/20201220221458926.gif
[20201220221458928.gif]: /images/20210728/e592d1d75f0e4fa3b0f25eaed61e9358.png
[7af0e454f848e47ed3fd484597e36f54.png]: /images/20210728/2f884568f1a545a3ba224b19896ffe6f.png
[53b68006475544bf3bf9f02f3826f3a2.png]: /images/20210728/1b204a0352a84529aa5cba23fb832161.png
[2862f08da1777414626bb51ca950aa97.png]: /images/20210728/07bb92d51e2f4c9f9b288c2d825c7aea.png
[fa36c1a2f63ee434a6bfe6272fc3c9f1.png]: /images/20210728/c6c0c539930c44e7b8c8cce1ca83ac5b.png
[20201220221458933.gif]: /images/20210728/be3ba5689ede4cef8eae7785c6a90b9d.png
[a11c0ed81ef25f440e1e325794cbda3a.png]: /images/20210728/c24e78d233dc49a0854b7e13ee3ba56c.png
[a64d43a25aefe209d7c02436e036182b.png]: /images/20210728/d22d25bce7fd4ddfbf04e61f7d327c69.png
[d7c863f376e14e13e07003b37da72306.png]: https://img-blog.csdnimg.cn/img_convert/d7c863f376e14e13e07003b37da72306.png
[645911b7811cc5dbcf3eca563c0cac16.gif]: /images/20210728/c246828a1a224c599730c2e9103cbe14.png
[b72b690997638d11ae634310ef8efd5b.gif]: /images/20210728/fee549ab5da6431aad91d37b45762e06.png
[13122d7660c431c8c1acb8a452a99fdb.png]: /images/20210728/362e9aecc20d4ff698344b8cdd5ef0b0.png