來自國外的開發者Avinash Jain在8月2日時發表了一篇文章,揭露全球范圍內使用非常廣泛的問題跟蹤軟件JIRA由于錯誤的配置導致成千上萬的公司
來自國外的開發者Avinash Jain在8月2日時發表了一篇文章,揭露全球范圍內使用非常廣泛的問題跟蹤軟件JIRA由于錯誤的配置導致成千上萬的公司泄露了內部的員工以及項目數據的問題。Jain同時提供了如何去找出這些存在漏洞的JIRA系統的方法。
以下是Jain文章的內容:
幾個月前,我發表了一篇關于“JIRA泄露NASA員工和項目數據”的文章,我能夠在這些泄露的數據中找到NASA員工的詳細信息,包括用戶名、電子郵件、ID以及他們的內部項目詳細信息。他們用的就是Atlassian的JIRA工具-一個獨立任務跟蹤系統/項目管理軟件,全球約有135,000家公司和組織在使用。而這次數據泄漏的根本原因是JIRA中存在的瘋狂錯誤配置。為什么使用“狂野”一詞,是因為如果你的公司也在使用相同的錯誤配置,那么我也可以訪問你們內部的用戶數據和內部項目詳細信息。
受影響的客戶包括NASA,谷歌,雅虎,Go-Jek,HipChat,Zendesk,Sapient,Dubsmash,西聯匯款,聯想,1password,Informatica等公司,以及世界各地政府的許多部門也遭受同樣的影響,如歐洲政府,聯合國,美國航天局,巴西政府運輸門戶網站,加拿大政府財政門戶網站之一等。
接下來我將分享我在Jira(Atlassian任務跟蹤系統/項目管理軟件)中發現的那個關鍵漏洞,或者更具體地說是導致組織和公司內部敏感信息泄露的錯誤配置問題。
讓我們看看究竟是什么問題!
在JIRA中創建過濾器或儀表板時,它提供了一些可見性選項。問題是由于分配給它們的權限錯誤。當在JIRA中創建項目/問題的過濾器和儀表板時,默認情況下,可見性分別設置為“所有用戶”和“所有人”,而不是與組織中的每個人共享,所以這些信息被完全公開了。JIRA中還有一個用戶選擇器功能,它提供了每個用戶的用戶名和電子郵件地址的完整列表。此信息泄露是JIRA全局權限設置中授權配置錯誤的結果。由于權限方案錯誤,以下內部信息容易受到攻擊:
所有賬號的雇員姓名和郵箱地址
雇員的角色
項目信息、里程碑等
任何擁有該系統鏈接的人都可以從任何地方訪問它們并獲取各種敏感信息,由于這些鏈接可能被所有搜索引擎編入索引,因此任何人都可以通過一些簡單的搜索查詢輕松找到它們。
來看看一些泄露的數據:
1.NASA員工數據
2. JIRA過濾器公開訪問
3. NASA項目詳情
如上所示,由于這些配置錯誤的JIRA設置,它會公開員工姓名,員工角色,即將到來的里程碑,秘密項目以及各種其他信息。
現在,我來介紹一下如何通過來自“Google dorks”(搜索查詢)找到這些公開曝光的用戶選擇器功能、過濾器以及許多公司的儀表板的鏈接/URL。
我通過Google的搜索如下:
inurl:/UserPickerBrowser.jspa-intitle:Login-intitle:Log
然后結果就出來了:
此查詢列出了其URI中具有“UserPickerBrowser”的所有URL,以查找公開而且不需要經過身份驗證的所有配置錯誤的JIRA用戶選擇器功能。
谷歌收購Apigee員工數據公開曝光
Go-jek員工數據公開曝光
還有前面提到的NASA泄露的數據。
對于過濾器和儀表板,我們可以看到這些過濾器和儀表板的URL包含“Managefilters”和“ConfigurePortal”作為一部分。我繼續創建搜索查詢
inurl:/ManageFilters.jspa?filterView=popularAND(intext:AllusersORintext:SharedwiththepublicORintext:Public)
此查詢列出了所有在其URI中具有“Managefilters”并且文本為“Public”的URL,以便找到所有公開暴露且未經過身份驗證的錯誤配置的JIRA過濾器。
結果如下:
inurl:/ConfigurePortalPages!default.jspa?view=popular
此查詢列出其URI中具有“ConfigurePortalPages”的所有URL,以查找公開公開的所有JIRA儀表板。
在進一步偵察(信息收集)時,我發現各公司都有“company.atlassian.net”格式的JIRA URL,因此如果您想檢查任何配置錯誤的過濾器,儀表板或用戶選擇器功能的公司,您需要只需將他們的名字放在URL中
https://companyname.atlassian.net/secure/popups/UserPickerBrowser.jspa
https://companyname.atlassian.net/secure/ManageFilters.jspa?filterView=popular
https://companyname.atlassian.net/secure/ConfigurePortalPages!default.jspa?view=popular
數以千計的公司過濾器,儀表板和員工數據被公開曝光。這是因為設置為過濾器和儀表板的錯誤權限方案因此甚至提供了對未登錄用戶的訪問權限,從而導致敏感數據泄漏。我在數百家公司中發現了幾個錯誤配置的JIRA帳戶。一些公司來自Alexa和Fortune的頂級名單,包括像NASA,谷歌,雅虎等大型巨頭和政府網站,以及巴西政府對Jira過濾器錯誤配置了他們的道路和運輸系統,因此暴露了他們的一些項目細節,員工姓名等,這些都是在與他們聯系后修復的。
同樣,聯合國意外地將他們的Jira過濾器和Jira儀表板公開,因此暴露了他們的內部項目細節,秘密里程碑等,在我報告之后由他們修復并且在他們的名人堂名單中得到獎勵。
當他們的商業金融軟件系統和解決方案具有相同的Jira錯誤配置并暴露其內部敏感項目和員工細節時,甚至歐洲政府也遭受了同樣的風險。在我向他們發送報告后,他們也對其進行了修復,并在其名人堂名單中得到了認可。
這些公開可用的過濾器和儀表板提供了詳細信息,例如員工角色,員工姓名,郵件ID,即將到來的里程碑,秘密項目和功能。而用戶選擇器功能公開了內部用戶數據。競爭對手公司有用的信息,可以了解其競爭對手正在進行的即將到來的里程碑或秘密項目的類型。即使是攻擊者也可以從中獲取一些信息并將其與其他類型的攻擊聯系起來。顯然,它不應該是公開的,這不是安全問題,而是隱私問題。
我向不同的公司報告了這個問題,一些人給了我一些獎勵,一些人修復了它,而另一些人仍在使用它。雖然這是一個錯誤配置問題,Atlassian(JIRA)必須處理并更明確地明確“任何登錄用戶”的含義,無論是JIRA的任何登錄用戶還是僅登錄屬于特定JIRA公司帳戶的用戶。(紅薯)
