挖洞经验 | COVID-19期间数百个曝露在互联网上的内部服务台系统(Service Desks)
字数 1602 2025-08-15 21:30:53

曝露在互联网上的内部服务台系统(Service Desks)安全风险分析与防范指南

漏洞背景

在COVID-19疫情期间,全球数百万家公司转向远程办公模式,导致大量内部服务台系统(Service Desks)被错误配置并暴露在互联网上。这些系统本应仅限于内部员工使用,但由于配置不当,外部攻击者可以轻易访问并注册账号,进而可能执行各种敏感操作。

漏洞发现过程

  1. 研究动机:考虑到远程办公场景下的安全隐患,研究者从全球10000家公司网站中筛选测试
  2. 测试范围:1972个部署了Atlassian实例的网站中,发现288个曝网的Atlassian内部服务台系统
  3. 时间对比:相比疫情前的扫描结果,曝露系统数量增加了约12%

漏洞技术细节

错误配置表现

  1. 公开访问:服务台系统登录页面可通过标准URL直接访问
    • 示例URL格式:https://yourcompanyname.atlassian.net/servicedesk/customer/user/login
  2. 开放注册:登录页面通常包含"sign up"(注册)按钮,允许任意用户注册
  3. 功能模板:注册后可选择多种应用模板(IT、HR、设备、财务、法律等)

潜在危害

  1. 敏感操作执行

    • 请求办公室门禁工号
    • 新员工入职流程
    • 员工加薪请求
    • 员工信息查询
    • 在线系统/网页内容更改
    • 社交媒体账号访问请求
    • 内部工具访问请求
    • 内部安全评估报告查询
    • 用户账户解锁
    • 多因素身份验证重置
    • 费用申报
    • GDPR请求发起
    • VPN白名单获取
    • 数据库查询执行
    • 服务器代码执行(最高危)

  2. 信息泄露风险

    • 约1/3的系统允许新注册用户对其他员工指派工单任务
    • 通过服务配置可查看与姓名对应的电子邮箱地址
    • 可能泄露向公司发起帮助请求的用户个人信息

漏洞利用方法

  1. 发现阶段

    • 通过自动化扫描识别部署Atlassian实例的公司网站
    • 检查标准服务台URL的可访问性
    • 验证注册功能是否开放

  2. 利用阶段

    • 访问服务台登录页面
    • 完成公开注册流程
    • 选择适当的服务模板
    • 创建恶意工单或执行敏感操作

漏洞影响评估

  1. 影响范围:全球大量使用Atlassian服务台系统的企业
  2. 风险等级:从"可接受风险"到"危急"(Critical)不等
    • 最高风险案例涉及远程代码执行能力
  3. 实际案例
    • 研究者成功联系约25家公司进行修复
    • 漏洞奖励范围:€50到$10,000不等
    • 至少一家公司确认存在虚假账号

防御措施

企业防护建议

  1. 访问控制

    • 严格限制服务台系统的互联网访问
    • 配置IP白名单或VPN访问
    • 禁用公开注册功能

  2. 配置检查

    • 定期审计Atlassian产品配置
    • 参考Atlassian官方文档进行安全设置
    • 检查并关闭不必要的公开访问端点

  3. 监控措施

    • 实施异常账号创建监控
    • 设置可疑活动告警机制
    • 定期审核工单系统用户列表

  4. 漏洞管理

    • 建立正规的漏洞披露渠道
    • 及时响应安全研究人员报告
    • 参与漏洞奖励计划

员工安全意识

  1. 工单验证

    • 对异常请求进行二次验证
    • 建立线下验证机制(如电话确认)

  2. 权限管理

    • 遵循最小权限原则
    • 定期审查账户权限

常见问题解答(FAQ)

  1. 这是Atlassian的产品漏洞吗?

    • 不是,这是配置错误问题,非产品本身漏洞

  2. 如何判断服务台系统是否应该公开?

    • 需根据实际用途判断,内部使用的系统公开即存在风险
    • 可通过注册后的请求和内容核实

  3. 攻击者能否访问现有工单?

    • 测试中未发现新用户能访问现有工单的情况

  4. 与社会工程学攻击的区别?

    • 这种配置错误使攻击更直接,无需欺骗支持人员
    • 内部系统通常缺乏对外部请求的怀疑机制

总结

曝露在互联网上的内部服务台系统代表了远程办公时代的一个重大安全盲点。企业必须认识到这类系统的敏感性,并采取积极措施确保其安全配置。同时,建立有效的漏洞披露渠道对于及早发现和修复此类问题至关重要。安全团队应定期审查所有面向互联网的服务,确保没有内部系统被意外暴露。

曝露在互联网上的内部服务台系统(Service Desks)安全风险分析与防范指南 漏洞背景 在COVID-19疫情期间,全球数百万家公司转向远程办公模式,导致大量内部服务台系统(Service Desks)被错误配置并暴露在互联网上。这些系统本应仅限于内部员工使用,但由于配置不当,外部攻击者可以轻易访问并注册账号,进而可能执行各种敏感操作。 漏洞发现过程 研究动机 :考虑到远程办公场景下的安全隐患,研究者从全球10000家公司网站中筛选测试 测试范围 :1972个部署了Atlassian实例的网站中,发现288个曝网的Atlassian内部服务台系统 时间对比 :相比疫情前的扫描结果,曝露系统数量增加了约12% 漏洞技术细节 错误配置表现 公开访问 :服务台系统登录页面可通过标准URL直接访问 示例URL格式: https://yourcompanyname.atlassian.net/servicedesk/customer/user/login 开放注册 :登录页面通常包含"sign up"(注册)按钮,允许任意用户注册 功能模板 :注册后可选择多种应用模板(IT、HR、设备、财务、法律等) 潜在危害 敏感操作执行 : 请求办公室门禁工号 新员工入职流程 员工加薪请求 员工信息查询 在线系统/网页内容更改 社交媒体账号访问请求 内部工具访问请求 内部安全评估报告查询 用户账户解锁 多因素身份验证重置 费用申报 GDPR请求发起 VPN白名单获取 数据库查询执行 服务器代码执行(最高危) 信息泄露风险 : 约1/3的系统允许新注册用户对其他员工指派工单任务 通过服务配置可查看与姓名对应的电子邮箱地址 可能泄露向公司发起帮助请求的用户个人信息 漏洞利用方法 发现阶段 : 通过自动化扫描识别部署Atlassian实例的公司网站 检查标准服务台URL的可访问性 验证注册功能是否开放 利用阶段 : 访问服务台登录页面 完成公开注册流程 选择适当的服务模板 创建恶意工单或执行敏感操作 漏洞影响评估 影响范围 :全球大量使用Atlassian服务台系统的企业 风险等级 :从"可接受风险"到"危急"(Critical)不等 最高风险案例涉及远程代码执行能力 实际案例 : 研究者成功联系约25家公司进行修复 漏洞奖励范围:€50到$10,000不等 至少一家公司确认存在虚假账号 防御措施 企业防护建议 访问控制 : 严格限制服务台系统的互联网访问 配置IP白名单或VPN访问 禁用公开注册功能 配置检查 : 定期审计Atlassian产品配置 参考Atlassian官方文档进行安全设置 检查并关闭不必要的公开访问端点 监控措施 : 实施异常账号创建监控 设置可疑活动告警机制 定期审核工单系统用户列表 漏洞管理 : 建立正规的漏洞披露渠道 及时响应安全研究人员报告 参与漏洞奖励计划 员工安全意识 工单验证 : 对异常请求进行二次验证 建立线下验证机制(如电话确认) 权限管理 : 遵循最小权限原则 定期审查账户权限 常见问题解答(FAQ) 这是Atlassian的产品漏洞吗? 不是,这是配置错误问题,非产品本身漏洞 如何判断服务台系统是否应该公开? 需根据实际用途判断,内部使用的系统公开即存在风险 可通过注册后的请求和内容核实 攻击者能否访问现有工单? 测试中未发现新用户能访问现有工单的情况 与社会工程学攻击的区别? 这种配置错误使攻击更直接,无需欺骗支持人员 内部系统通常缺乏对外部请求的怀疑机制 总结 曝露在互联网上的内部服务台系统代表了远程办公时代的一个重大安全盲点。企业必须认识到这类系统的敏感性,并采取积极措施确保其安全配置。同时,建立有效的漏洞披露渠道对于及早发现和修复此类问题至关重要。安全团队应定期审查所有面向互联网的服务,确保没有内部系统被意外暴露。