Servidores JIRA configurados incorretamente vazam informações sobre usuários e projetos

Views: 656
0 0
Read Time:2 Minute, 44 Second

Os servidores Jira configurados incorretamente de grandes nomes do setor de tecnologia expuseram informações sobre projetos e usuários internos que podiam ser acessados por qualquer pessoa com um bom comando de operadores de pesquisa avançados.

Jira é uma solução popular para gerenciamento de projetos, desenvolvida pela Atlassian para equipes ágeis. É usado pelas empresas da Fortune 500 para facilitar o rastreamento do progresso de várias tarefas e problemas.

Organizações como Google, Yahoo, NASA, Lenovo, 1Password, Zendesk, bem como órgãos governamentais de todo o mundo deixaram detalhes privados desprotegidos que poderiam ter comprometido seus desenvolvimentos.

Algumas entidades continuam a expor inadvertidamente ao público os nomes, funções e endereços de e-mail dos funcionários envolvidos em vários projetos da organização, juntamente com o estágio atual e o desenvolvimento dessas atividades.

Definitivamente um problema de visibilidade

Essas informações se tornam públicas quando uma configuração é usada para controlar a visibilidade de filtros e painéis para projetos em servidores Jira, diz Avinash Jain, o engenheiro de segurança que descobriu o problema.

Jain disse ao BleepingComputer que quando um novo filtro e painel são criados no Jira Cloud, a configuração de visibilidade padrão é “all” e isso é entendido como “tudo dentro da organização”, mas se refere a todos na Internet.

Os projetos no Jira Cloud podem ser configurados para acesso anônimo, o que não exige que um usuário faça o login. Uma das opções de compartilhamento de filtros e painéis é chamada Public e vem com um aviso:

“Se um filtro ou painel for compartilhado com Público, o nome do filtro ou do painel ficará visível para usuários anônimos.” Documentação do Jira Cloud.

Uma configuração mais ampla é do menu Permissões Globais, onde o administrador pode escolher “Qualquer pessoa” na lista suspensa para conceder acesso a usuários que não estejam conectados. Isso não é recomendado para “sistemas que podem ser acessados ​​da Internet pública como Cloud “.

O Jira possui uma funcionalidade de selecionador de usuários que permite recuperar uma lista completa de nomes de usuários e endereços de e-mail nos servidores expostos configurados incorretamente.

Encontrando servidores mal configurados

Usando operadores de pesquisa específicos (Google Dorks), Jain conseguiu identificar as máquinas configuradas para permitir acesso a informações sobre usuários e projetos relacionados.

Quando o BleepingComputer os testou, pudemos encontrar facilmente domínios governamentais que foram afetados, bem como empresas privadas e instituições educacionais.

Dependendo da organização, esses detalhes são valiosos para operações de reconhecimento antes de planejar um ataque ou para espionar a concorrência.

“Milhares de empresas filtros, painéis e dados do pessoal foram publicamente expostos”, diz o pesquisador.

“Descobri várias contas do JIRA configuradas incorretamente em centenas de empresas. Algumas das empresas eram da Alexa e da Fortune, incluindo gigantes como NASA, Google, Yahoo, etc. e sites governamentais.” – Avinash Jain

O pesquisador relatou algumas de suas descobertas às partes afetadas e foi reconhecido por seu papel na melhoria de seus protocolos de segurança. Uma das organizações é as Nações Unidas; outro reconhecimento foi para a CODIX – uma solução financeira usada pelas instituições e agências da União Européia.

No ano passado, Jain encontrou e reportou responsavelmente à NASA um servidor Jira mal configurado que expunha detalhes (nomes e endereços de e-mail) de 1.000 usuários.

FONTE: https://www.bleepingcomputer.com/news/security/misconfigured-jira-servers-leak-info-on-users-and-projects/

POSTS RELACIONADOS