错误的Jira配置导致Google和NASA的敏感数据外泄

2019-09-03 01:09:47 admin



只要在jira云中创建了一个新的过滤器和仪表板,并且默认的可见性设置为“所有用户”,jira服务器就会发生泄漏。JIRA是一种流行的项目管理解决方案,由Atlassian为敏捷团队开发。

谷歌,雅虎,美国宇航局,联想,1Password,Zendesk以及各种管理机构等组织因错误配置的Jira服务器而暴露敏感数据。Jira是一个流行的项目管理解决方案,由Atlassian为敏捷团队开发。

安全工程师Avinash Jain发现,只要在Jira云中创建新的过滤器和仪表板,Jira服务器就会发生泄漏,默认情况下,可见性分别设置为“所有用户”和“所有人”,而不是与组织中的每个人共享,所以这些信息被完全公开了。

JIRA 中还有一个用户选择器功能,它提供了每个用户的用户名和电子邮件地址的完整列表。此信息泄露是 JIRA 全局权限设置中授权配置错误的结果。由于权限方案错误,以下内部信息容易受到攻击:

  • 所有账号的雇员姓名和邮箱地址
  • 雇员的角色
  • 项目信息、里程碑等

泄漏是如何被发现的?

Jain使用特定搜索运算符(Google Dorks)来识别安装了Jira服务器的计算机,以允许访问有关用户和相关项目的信息。 当Bleeping Computer试图使用Google Dorks找到易受攻击的机器时,它可以很容易地找到政府域名以及私人公司和教育机构。

据受影响的机构称,这些公开的细节可能非常有价值。威胁行动者可以利用这些数据进行侦察行动。

Jain表示,数以千计的公司过滤器,仪表板和员工数据被公开曝光。在数百家公司中发现了几个错误配置的JIRA帐户。其中一些公司来自Alexa和Fortune的顶级名单,包括NASA,谷歌,雅虎等大型巨头和政府网站。



服务热线

17884544032

公司地址

安徽省合肥市蜀山区鑫鹏大厦

作息时间

周一至周五 9:00-18:00