JIRA是目前比较流行的基于Java架构的管理系统,开发者是 Atlassian,是集项目计划、任务分配、需求管理、错误跟踪于一体的商业软件。由于Atlassian公司对很多开源项目实行免费提供缺陷跟踪服务,因此在开源领域,其认知度比其他的产品要高得多,而且易用性也好一些。目前,它已被122个国家的135000多家公司使用。
不过最近,安全工程师Avinash Jain发现了JIRA服务器中的错误配置漏洞,该漏洞允许任何人访问内部用户数据,包括他们的姓名,电子邮件ID以及用户的正在进行的项目的详细信息。
受影响的客户包括 NASA,谷歌,雅虎,Go-Jek,HipChat,Zendesk,Sapient,Dubsmash,西联汇款,联想,1password,Informatica等公司,以及世界各地政府的许多部门也遭受同样的影响,如欧洲政府,联合国,美国航天局,巴西政府运输部门的网站等。
JIRA中的错误权限配置
错误配置问题是由于在创建过滤器和仪表板时分配了错误的权限,而在创建新过滤器或仪表板时,默认情况下将可视性设置为所有用户和所有人,而不是共享组织中的所有人。
如果权限设置为所有人,那么任何人都可以通过URL访问敏感数据,并且还可以被搜索引擎检索到。泄漏暴露出以下敏感细节:
1. 所有帐户的员工姓名和电子邮件;
2. 员工在JIRA小组的角色;
3. 当前项目在JIRA仪表板或过滤器中的进展度。
通过使用Google dork搜索查询,任何人都可以编写搜索查询并从JIRA服务器中提取敏感信息。
在Google引擎里,有一种行内人都称之为 Google Dork的搜索方法,这个词语的大概意思就是说这种信息虽然没有禁止Google收录,但是往往是安全或者致命的信息,比如phpMyAdmin初始化的时候,如果没有设置密码,或者管理员没有删除类似的初始化页面,默认页一般是初始化操作,比如Welcome to phpMyAdmin,然后让你创建一个数据库(Create new database),那你如果搜索"Welcome to phpMyAdmin" AND " Create new database"的话,Google会给你一大批记录。
Avinash Jain说:
“成千上万的公司过滤器,仪表板和员工数据公开曝光。之所以出现这种情况,是因为过滤器和仪表板设置了错误的权限方案,因此即使对非登录用户也可以访问,从而导致敏感数据泄露。”
来看看一些泄露的数据
1.JIRA过滤器可以被公开访问
2.NASA项目详情
如上所示,由于这些配置错误的JIRA设置,它会公开员工姓名,员工角色,项目进展以及各种其他信息。
现在,看看Avinash Jain是如何通过来自“Google dork”找到这些公开曝光的用户选择器功能、过滤器以及许多公司的仪表板的URL的。
Google 的搜索如下:
inurl:/UserPickerBrowser.jspa -intitle:Login -intitle:Log
然后结果就出来了,如下图所示:
此查询列出了其URI中具有“UserPickerBrowser”的所有URL,以查找公开而且不需要经过身份验证的所有配置错误的 JIRA 用户选择器功能,其中就包括谷歌收购Apigee员工的机密数据。
再比如以下创建的这个搜索查询:
inurl:/ManageFilters.jspa?filterView=popular AND ( intext:All users OR intext:Shared with the public OR intext:Public )
此查询列出了所有在其URI中具有“Managefilters”并且文本为“Public”的URL,以便找到所有公开暴露且未经过身份验证的错误配置的JIRA过滤器。结果如下图如下:
再比如以下创建的这个搜索查询:
inurl:/ConfigurePortalPages!default.jspa?view=popular
此查询会列出其URI中具有“ConfigurePortalPages”的所有URL,以查找公开公开的所有JIRA仪表板。
另外, Avinash Jain 发现在以上提到的泄漏公司中都有包含“company.atlassian.net”格式的JIRA URL,因此如果你想检查任何配置错误的过滤器,仪表板或用户选择器功能的公司,你只需将他们的名字放在URL中即可查询 到相关泄漏信息。
https://companyname.atlassian.net/secure/popups/UserPickerBrowser.jspa https://companyname.atlassian.net/secure/ManageFilters.jspa?filterView=popular https://companyname.atlassian.net/secure/ConfigurePortalPages!default.jspa?view=popular
在此,建议Atlassian(JIRA)必须处理并更明确地明确“任何登录用户”的含义。
本文翻译自:https://medium.com/@logicbomb_1/one-misconfig-jira-to-leak-them-all-including-nasa-and-hundreds-of-fortune-500-companies-a70957ef03c7 https://gbhackers.com/jira-servers-data-leak/如若转载,请注明原文地址: https://www.4hou.com/info/news/19566.html