Os servidores Jira configurados incorretamente de grandes nomes do setor de tecnologia expuseram informações sobre projetos e usuários internos que podiam ser acessados por qualquer pessoa com um bom comando de operadores de pesquisa avançados.
Jira é uma solução popular para gerenciamento de projetos, desenvolvida pela Atlassian para equipes ágeis. É usado pelas empresas da Fortune 500 para facilitar o rastreamento do progresso de várias tarefas e problemas.
Organizações como Google, Yahoo, NASA, Lenovo, 1Password, Zendesk, bem como órgãos governamentais de todo o mundo deixaram detalhes privados desprotegidos que poderiam ter comprometido seus desenvolvimentos.
Algumas entidades continuam a expor inadvertidamente ao público os nomes, funções e endereços de e-mail dos funcionários envolvidos em vários projetos da organização, juntamente com o estágio atual e o desenvolvimento dessas atividades.
Definitivamente um problema de visibilidade
Essas informações se tornam públicas quando uma configuração é usada para controlar a visibilidade de filtros e painéis para projetos em servidores Jira, diz Avinash Jain, o engenheiro de segurança que descobriu o problema.
Jain disse ao BleepingComputer que quando um novo filtro e painel são criados no Jira Cloud, a configuração de visibilidade padrão é “all” e isso é entendido como “tudo dentro da organização”, mas se refere a todos na Internet.
Os projetos no Jira Cloud podem ser configurados para acesso anônimo, o que não exige que um usuário faça o login. Uma das opções de compartilhamento de filtros e painéis é chamada Public e vem com um aviso:
“Se um filtro ou painel for compartilhado com Público, o nome do filtro ou do painel ficará visível para usuários anônimos.” Documentação do Jira Cloud.
Uma configuração mais ampla é do menu Permissões Globais, onde o administrador pode escolher “Qualquer pessoa” na lista suspensa para conceder acesso a usuários que não estejam conectados. Isso não é recomendado para “sistemas que podem ser acessados da Internet pública como Cloud “.
O Jira possui uma funcionalidade de selecionador de usuários que permite recuperar uma lista completa de nomes de usuários e endereços de e-mail nos servidores expostos configurados incorretamente.
Encontrando servidores mal configurados
Usando operadores de pesquisa específicos (Google Dorks), Jain conseguiu identificar as máquinas configuradas para permitir acesso a informações sobre usuários e projetos relacionados.
Quando o BleepingComputer os testou, pudemos encontrar facilmente domínios governamentais que foram afetados, bem como empresas privadas e instituições educacionais.
Dependendo da organização, esses detalhes são valiosos para operações de reconhecimento antes de planejar um ataque ou para espionar a concorrência.
“Milhares de empresas filtros, painéis e dados do pessoal foram publicamente expostos”, diz o pesquisador.
“Descobri várias contas do JIRA configuradas incorretamente em centenas de empresas. Algumas das empresas eram da Alexa e da Fortune, incluindo gigantes como NASA, Google, Yahoo, etc. e sites governamentais.” – Avinash Jain
O pesquisador relatou algumas de suas descobertas às partes afetadas e foi reconhecido por seu papel na melhoria de seus protocolos de segurança. Uma das organizações é as Nações Unidas; outro reconhecimento foi para a CODIX – uma solução financeira usada pelas instituições e agências da União Européia.
No ano passado, Jain encontrou e reportou responsavelmente à NASA um servidor Jira mal configurado que expunha detalhes (nomes e endereços de e-mail) de 1.000 usuários.