欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

错误配置的JIRA服务器已导致数百家财富500强企业和多国政府网站的敏感数据被泄漏

来源:本站整理 作者:佚名 时间:2019-08-06 TAG: 我要投稿

JIRA是目前比较流行的基于Java架构的管理系统,开发者是 Atlassian,是集项目计划、任务分配、需求管理、错误跟踪于一体的商业软件。由于Atlassian公司对很多开源项目实行免费提供缺陷跟踪服务,因此在开源领域,其认知度比其他的产品要高得多,而且易用性也好一些。目前,它已被122个国家的135000多家公司使用。
不过最近,安全工程师Avinash Jain发现了JIRA服务器中的错误配置漏洞,该漏洞允许任何人访问内部用户数据,包括他们的姓名,电子邮件ID以及用户的正在进行的项目的详细信息。
受影响的客户包括 NASA,谷歌,雅虎,Go-Jek,HipChat,Zendesk,Sapient,Dubsmash,西联汇款,联想,1password,Informatica等公司,以及世界各地政府的许多部门也遭受同样的影响,如欧洲政府,联合国,美国航天局,巴西政府运输部门的网站等。
JIRA中的错误权限配置
错误配置问题是由于在创建过滤器和仪表板时分配了错误的权限,而在创建新过滤器或仪表板时,默认情况下将可视性设置为所有用户和所有人,而不是共享组织中的所有人。
如果权限设置为所有人,那么任何人都可以通过URL访问敏感数据,并且还可以被搜索引擎检索到。泄漏暴露出以下敏感细节:
1. 所有帐户的员工姓名和电子邮件;
2. 员工在JIRA小组的角色;
3. 当前项目在JIRA仪表板或过滤器中的进展度。
通过使用Google dork搜索查询,任何人都可以编写搜索查询并从JIRA服务器中提取敏感信息。
在Google引擎里,有一种行内人都称之为 Google Dork的搜索方法,这个词语的大概意思就是说这种信息虽然没有禁止Google收录,但是往往是安全或者致命的信息,比如phpMyAdmin初始化的时候,如果没有设置密码,或者管理员没有删除类似的初始化页面,默认页一般是初始化操作,比如Welcome to phpMyAdmin,然后让你创建一个数据库(Create new database),那你如果搜索"Welcome to phpMyAdmin" AND " Create new database"的话,Google会给你一大批记录。
Avinash Jain说:
“成千上万的公司过滤器,仪表板和员工数据公开曝光。之所以出现这种情况,是因为过滤器和仪表板设置了错误的权限方案,因此即使对非登录用户也可以访问,从而导致敏感数据泄露。”
来看看一些泄露的数据
1.JIRA过滤器可以被公开访问

2.NASA项目详情

如上所示,由于这些配置错误的JIRA设置,它会公开员工姓名,员工角色,项目进展以及各种其他信息。
现在,看看Avinash Jain是如何通过来自“Google dork”找到这些公开曝光的用户选择器功能、过滤器以及许多公司的仪表板的URL的。
Google 的搜索如下:
inurl:/UserPickerBrowser.jspa -intitle:Login -intitle:Log
然后结果就出来了,如下图所示:

此查询列出了其URI中具有“UserPickerBrowser”的所有URL,以查找公开而且不需要经过身份验证的所有配置错误的 JIRA 用户选择器功能,其中就包括谷歌收购Apigee员工的机密数据。
再比如以下创建的这个搜索查询:
inurl:/ManageFilters.jspa?filterView=popular AND ( intext:All users OR intext:Shared with the public OR intext:Public )
此查询列出了所有在其URI中具有“Managefilters”并且文本为“Public”的URL,以便找到所有公开暴露且未经过身份验证的错误配置的JIRA过滤器。结果如下图如下:

再比如以下创建的这个搜索查询:
inurl:/ConfigurePortalPages!default.jspa?view=popular
此查询会列出其URI中具有“ConfigurePortalPages”的所有URL,以查找公开公开的所有JIRA仪表板。

另外, Avinash Jain 发现在以上提到的泄漏公司中都有包含“company.atlassian.net”格式的JIRA URL,因此如果你想检查任何配置错误的过滤器,仪表板或用户选择器功能的公司,你只需将他们的名字放在URL中即可查询 到相关泄漏信息。
https://companyname.atlassian.net/secure/popups/UserPickerBrowser.jspa
https://companyname.atlassian.net/secure/ManageFilters.jspa?filterView=popular
https://companyname.atlassian.net/secure/ConfigurePortalPages!default.jspa?view=popular
在此,建议Atlassian(JIRA)必须处理并更明确地明确“任何登录用户”的含义。
 

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载