Notícias

Servidores JIRA configurados incorretamente vazam informações sobre usuários e projetos

Servidores Jira mal configurados de grandes nomes na indústria de tecnologia expuseram informações sobre projetos internos e usuários que poderiam ser acessados ​​por qualquer pessoa com um bom comando de operadores de pesquisa avançada.

Jira é uma solução popular para gerenciamento de projetos, desenvolvida pela Atlassian para equipes ágeis. Ele é usado por empresas da Fortune 500 para acompanhar facilmente o progresso de várias tarefas e problemas.

Organizações como o Google, o Yahoo, a NASA, a Lenovo, o 1Password e o Zendesk, além de órgãos governamentais em todo o mundo, deixaram detalhes privados desprotegidos que poderiam ter comprometido seus desenvolvimentos.

Algumas entidades continuam a expor inadvertidamente ao público os nomes, funções e endereços de e-mail dos funcionários envolvidos em vários projetos da organização, juntamente com o estágio atual e o desenvolvimento dessas atividades.

Definitivamente um problema de visibilidade

Essas informações se tornam públicas quando uma configuração é usada para controlar a visibilidade de filtros e painéis para projetos em servidores Jira, diz Avinash Jain , o engenheiro de segurança que descobriu o problema.

Jain disse ao BleepingComputer que quando um novo filtro e painel são criados no Jira Cloud, a configuração de visibilidade padrão é “all” e isso é entendido como “tudo dentro da organização”, mas se refere a todos na Internet.

Os projetos no Jira Cloud podem ser configurados para acesso anônimo, o que não exige que um usuário faça o login. Uma das opções de compartilhamento de filtros e painéis é chamada Public e vem com um aviso:

“Se um filtro ou painel for compartilhado com Público, o nome do filtro ou do painel ficará visível para usuários anônimos.” Documentação do Jira Cloud .

Uma configuração mais ampla é do menu Permissões Globais, onde o administrador pode escolher “Qualquer pessoa” na lista suspensa para conceder acesso a usuários que não estejam conectados. Isso não é recomendado para “sistemas que podem ser acessados ​​da Internet pública como Cloud “.

O Jira possui uma funcionalidade de selecionador de usuários que permite recuperar uma lista completa de nomes de usuários e endereços de e-mail nos servidores expostos configurados incorretamente.

Encontrando servidores mal configurados

Usando operadores de pesquisa específicos (Google Dorks), Jain conseguiu identificar as máquinas  configuradas para permitir acesso a informações sobre usuários e projetos relacionados.

Quando o BleepingComputer os testou, pudemos encontrar facilmente domínios governamentais que foram afetados, bem como empresas privadas e instituições educacionais.

Dependendo da organização, esses detalhes são valiosos para operações de reconhecimento antes de planejar um ataque ou para espionar a concorrência.

“Milhares de empresas filtros, painéis e dados do pessoal foram publicamente expostos”, diz o pesquisador.

“Descobri várias contas do JIRA configuradas incorretamente em centenas de empresas. Algumas das empresas eram da Alexa e da Fortune, incluindo gigantes como NASA, Google, Yahoo, etc. e sites governamentais.” – Avinash Jain

O pesquisador relatou algumas de suas descobertas às partes afetadas e foi reconhecido por seu papel na melhoria de seus protocolos de segurança. Uma das organizações é as Nações Unidas ; outro reconhecimento  foi para a CODIX  – uma solução financeira usada pelas instituições e agências da União Européia.

No ano passado, Jain encontrou e reportou responsavelmente à NASA um servidor Jira mal configurado que expunha detalhes (nomes e endereços de e-mail) de 1.000 usuários.

Fonte

Mais Lidas

To Top