Тикетинг-системы — самая недооценённая точка входа в корпоративную сеть
Представьте: два дня на периметре, WAF отрабатывает каждый запрос, поверхность атаки минимальна. А потом — Jira Service Management, выставленная наружу для подрядчиков. Регистрация аккаунта за три минуты, SSRF через batch-endpoint Mobile Plugin, и через 40 минут после регистрации — токены IAM-роли облачного инстанса на экране. SOC увидел алерт через шесть часов.
Почему ITSM-платформы так опасны? Потому что они живут в привилегированной зоне доверия. Jira, ServiceNow, Freshservice — это не просто хелпдески. Это реестры всей IT-инфраструктуры: списки серверов, сетевые сегменты, учётные записи, конфигурации. Плюс интеграции со Slack, GitHub, Jenkins, PagerDuty, Active Directory. Компрометация одной платформы открывает доступ ко всем подключённым системам через доверенные связи.
➡️Три причины, почему атакующие целятся в тикетинг:
• CMDB как карта инфраструктуры. Зачем шуметь nmap, когда все серверы, приложения и их владельцы уже аккуратно разложены по полочкам в CMDB? Одна SSRF с доступом к внутренним API — и атакующий получает полную карту без единого скана.
• Пароли прямо в тикетах. Сотрудники прикладывают конфиги с credentials, скриншоты консолей, ссылки на внутренние ресурсы. Knowledge Base в ServiceNow или Confluence рядом с Jira — настоящее хранилище секретов, к которому достаточно получить чтение.
• Lateral movement через интеграции. OAuth-токены, webhook-секреты — компрометация ITSM даёт пивот во все подключённые сервисы без необходимости ломать каждый отдельно.
👉Конкретный пример — CVE-2022-26135. SSRF в Mobile Plugin for Jira. Endpoint /rest/nativemobile/1.0/batch принимает JSON-массив запросов и выполняет их на стороне сервера. Атакующий передаёт в поле location значение @targethost.com, и HTTP-клиент интерпретирует часть до @ как userinfo, отправляя запрос на произвольный хост. Изящно и просто.
Ключевой нюанс: SSRF требует аутентификации. Но Jira Service Desk поддерживает self-registration через /servicedesk/customer/user/signup. Формально аккаунт ограничен. На практике — его хватает для SSRF, чтения облачных метаданных и извлечения токенов.
🎇При этом ITSM-платформы включают в scope пентеста в последнюю очередь — если включают вообще. Парадокс: система, которая знает о вашей инфраструктуре больше всех, проверяется меньше всех.
В полной статье — разбор SSTI в ServiceNow, уязвимости Freshservice, цепочки эксплуатации с MITRE ATT&CK маппингом и практические рекомендации по защите. Читайте на форуме Codeby.
