Обзор

Исследовательская группа Varonis изучила список из 812 поддоменов и обнаружила 689 доступных экземпляров Jira. В этих экземплярах было обнаружено 3 774 общедоступных панелей управления, 244 проекта и 75 629 проблем (открытые адреса электронной почты, URL и IP-адреса).

Мы также обнаружили, что Jira REST API раскрывает больше общедоступной информации, чем веб-интерфейс. В результате администратор может считать, что информация в безопасности, тогда как злоумышленники получают доступ к большему количеству данных через API.

Часть найденной публичной информации намеренно сделана общедоступной (например, панели управления и проблемы, связанные с проектами с открытым исходным кодом), но другие обнаруженные нами экземпляры содержат конфиденциальную информацию, которую администратор Jira в компании должен сделать закрытой.

Примечание. Это НЕ уязвимость Jira. Данные становятся доступными, когда клиент Jira случайно неправильно настраивает параметры Jira. Мы связались с Atlassian, чтобы сообщить о наших результатах.

Результат

На первый взгляд, URL-адреса и адреса электронной почты могут показаться совершенно безобидными данными, но электронные адреса, связанные с проблемами Jira, могут рассказать о том, кем являются клиенты компании. Некоторые из найденных нами записей о проблемах Jira раскрывают ошибки, особенности продукта и подробные сведения о разработках.

Бывает, что пользователь Jira хочет намеренно сделать общедоступной панель управления или фильтр. Однако наше исследование показывает, что ситуации, когда неправильная конфигурация приводит к раскрытию конфиденциальных данных, по-прежнему нередки.

В одном случае мы обнаружили «системную» панель управления транспортной компании с общедоступными URL-адресами конфиденциальных систем (например, серверов сборки, репозиториев исходного кода, инструментов для разработки маршрутных карт). Это идеальная отправная точка для злоумышленника, который может заняться фишинговой атакой на пользователей или перемещаться внутри сети.

Сканированный нами экземпляр Jira одного из поставщиков банковских услуг раскрыл десятки адресов электронной почты сотрудников банка, которые можно использовать для спуфинга от имени реальных отправителей, подстановки учетных данных, а также взлома SaaS-приложений банка методом перебора.

Факты

Jira — это популярный продукт Atlassian, который используется для организации команд разработчиков ПО. Он доступен в двух вариантах: Jira Cloud и сервер Jira (локально).

В Jira есть панели управления, которые помогают менеджерам по продуктам и разработчикам отслеживать свои проекты. На этих панелях могут быть фильтры. Как у панелей управления, так и у фильтров есть настройки разрешений, позволяющие контролировать, кто может просматривать и изменять их.

Вот пример обфусцированной панели управления Jira, которая почти наверняка не предназначена для размещения в открытом доступе онлайн:

Как это происходит? Есть два параметра разрешений, которые администраторы Jira часто понимают неправильно и непреднамеренно настраивают неверно:

  1. Общий доступ. Этот параметр позволяет пользователям предоставлять общий доступ к панелям управления и фильтрам всем пользователям, включая анонимных пользователей.

  2. Схема разрешений с группой «открытая». Администраторы Jira иногда полагают, что «открытая» означает «открытая для всех в компании», но на самом деле это означает «открытая для всех в интернете».

Atlassian внесла изменения в свой пользовательский интерфейс, чтобы помочь клиентам избежать этой критической ошибки. Еще в 2016 году компания изменила в настройке слово «Все» на «Открытая» и добавила предупреждающее сообщение:

Компания также добавила глобальный параметр, который администраторы могут использовать для полного отключения открытого доступа. Этот параметр находится в разделе «Администратор JIRA» > «Система» > «Общая конфигурация» > «Редактировать настройки».

Однако следует отметить, что глобальное отключение открытого доступа не приведет к автоматическому удалению общедоступных разрешений с объектов Jira, которые ранее были сделаны общедоступными. Вам нужно будет перенастроить параметры общего доступа на каждой панели управления.

Вопрос прежний, а проблемы новые

О неправильной настройке разрешений Jira пишут уже не в первый раз, но стоит более детально рассмотреть то, что обнаружили наши исследователи.

Во-первых, учитывая результаты нашего сканирования, мы хотели повысить осведомленность администраторов Jira, которые могли неправильно настроить экземпляры, открывая доступ к конфиденциальным данным.

Во-вторых, наша исследовательская группа обнаружила, что мы можем выявить больше открытых данных, чем было обнаружено ранее (через веб-интерфейс), используя REST API Jira. При помощи REST API злоумышленник может написать простой скрипт для сканирования учетной записи Jira компании и быстрого извлечения конфиденциальных данных.

Вот пример панели управления клиента Jira в веб-интерфейсе. Здесь особо не на что смотреть:

Вот та же панель управления, доступная через REST API:

Ответ API показывает владельца, включая его имя, аватар и URL-адрес страницы пользователя.

В чем заключаются риски?

Что может сделать злоумышленник с информацией панели управления Jira?

Разведка. Знание названий проектов, владельцев (ответственных лиц) и аватаров может помочь злоумышленнику разработать целевую фишинговую атаку.

Перемещение внутри сети. Мы обнаружили, что некоторые панели управления Jira содержат конфиденциальные данные о других используемых компанией инструментах и системах (внутренние IP-адреса, URL-адреса, учетные данные и пр.). Зная URL-адреса систем, подключенных к Интернету, злоумышленник может инициировать атаку с распылением паролей или подстановкой учетных данных или использовать известные уязвимости в этих системах.

Эксфильтрация данных. В самых плохих случаях злоумышленнику даже не нужно использовать информацию, полученную из Jira, для перехода к более конфиденциальным системам, поскольку необходимые ему данные хранятся непосредственно на панели управления Jira.

Сколько данных находится в открытом доступе?

Используя REST API, наша команда нашла 689 поддоменов Atlassian с общедоступными проектами, фильтрами, панелями управления или проблемами.

Когда мы просканировали поддомены, относящиеся к компаниям из списка Fortune 1000, то обнаружили множество экземпляров системных панелей управления, не содержащих ничего, кроме информации о владельце. Однако в некоторых случаях мы обнаружили сотни нерешенных проблем.

  • Проверено 812 субдоменов Atlassian

  • Найдено 689 сайтов (84%)

  • Среднее количество общедоступных объектов на учетную запись:

    • 87 фильтров

    • 6 панелей управления

    • 12 проектов

    • 4 448 проблем

  • Общее количество найденных общедоступных объектов:

    • 23 315 фильтров

    • 3 774 панели управления

    • 244 проекта

    • 75 629 проблем

  • Потенциально конфиденциальная информация:

    • 2 922 адреса электронной почты

    • 5 424 адреса IPv4

    • 60 411 URL-адресов

Минимизация рисков: как провести аудит настроек Jira

Вот несколько шагов, которые помогут вам убедиться, что ваш экземпляр Jira настроен так, как вы ожидали.

  • Следуйте этому подробному руководству от Atlassian, описывающему, как удалить открытый доступ

  • Проверьте каждое общедоступное разрешение на странице глобальных разрешений:

    • Перейдите в раздел «Настройки» -> «Система» -> «Глобальные разрешения»

    • Убедитесь, что в столбце «Пользователи/Группы» отсутствуют разрешения с открытой группой, которые не должны быть общедоступными онлайн

    • Если они есть, нажмите «Удалить», чтобы удалить открытую группу из всех разрешений, которые не должны быть общедоступными

  • Проверьте все схемы общедоступных разрешений:

    • Перейдите в «Настройки» -> «Проблемы» -> «Схемы разрешений»

    • Проверьте каждую схему разрешений и удалите открытый доступ, если это необходимо для вашей организации

    • Убедитесь, что в столбце «Разрешено» нет групп с предупреждением «Любой авторизованный или анонимный пользователь может просматривать этот проект»

    • Если они есть, нажмите «Удалить», чтобы удалить группу «Группа – Открытая». Мы рекомендуем удалить эту группу изо всех проектов.

Заключение

Есть причина, по которой «Нарушенный контроль доступа» оказался на вершине рейтинга «10 главных рисков безопасности веб-приложений OWASP».Организациям приходится управлять десятками приложений SaaS, каждое со своими схемами разрешений и настройками. Многие из них взаимосвязаны и имеют выход в интернет, что еще больше увеличивает риск. Одна ошибка в настройках может привести к раскрытию конфиденциальных данных в масштабах всей компании или даже всего мира.

Мы собираемся продолжать поиск неправильных настроек SaaS и делиться найденными сведениями, чтобы ознакомить администраторов с тем, что необходимо проверить для снижения риска раскрытия облачных данных.

Мы также постоянно совершенствуем функции в DatAdvantage Cloud для автоматического сканирования ваших приложений SaaS, чтобы найти распространенные неправильные настройки, выделить уязвимости конфиденциальных данных и предупредить вас, когда произойдет критическое изменение (например, кто-то изменит настройки совместного доступа с «частного» на «открытый»).