來自國外的開發者 Avinash Jain 在8月2日時發表了一篇文章,揭露全球範圍內使用非常廣泛的問題跟蹤軟體 JIRA 由於錯誤的配置導致成千上萬的公司泄露了內部的員工以及項目數據的問題。Jain 同時提供了如何去找出這些存在漏洞的 JIRA 系統的方法。
以下是 Jain 文章的內容:
幾個月前,我發表了一篇關於「JIRA 泄露 NASA 員工和項目數據」的文章,我能夠在這些泄露的數據中找到NASA員工的詳細信息,包括用戶名、電子郵件、ID 以及他們的內部項目詳細信息。他們用的就是 Atlassian 的 JIRA 工具 - 一個獨立任務跟蹤系統/項目管理軟體,全球約有135,000家公司和組織在使用。 而這次數據泄漏的根本原因是 JIRA 中存在的瘋狂錯誤配置。 為什麼使用「狂野」一詞,是因為如果你的公司也在使用相同的錯誤配置,那麼我也可以訪問你們內部的用戶數據和內部項目詳細信息。
受影響的客戶包括 NASA,谷歌,雅虎,Go-Jek,HipChat,Zendesk,Sapient,Dubsmash,西聯匯款,聯想,1password,Informatica等公司,以及世界各地政府的許多部門也遭受同樣的影響,如歐洲政府,聯合國,美國航天局,巴西政府運輸門戶網站,加拿大政府財政門戶網站之一等。
接下來我將分享我在Jira(Atlassian任務跟蹤系統/項目管理軟體)中發現的那個關鍵漏洞,或者更具體地說是導致組織和公司內部敏感信息泄露的錯誤配置問題。
讓我們看看究竟是什麼問題!
在 JIRA 中創建過濾器或儀錶板時,它提供了一些可見性選項。問題是由於分配給它們的許可權錯誤。當在JIRA中創建項目/問題的過濾器和儀錶板時,默認情況下,可見性分別設置為「所有用戶」和「所有人」,而不是與組織中的每個人共享,所以這些信息被完全公開了。JIRA 中還有一個用戶選擇器功能,它提供了每個用戶的用戶名和電子郵件地址的完整列表。此信息泄露是 JIRA 全局許可權設置中授權配置錯誤的結果。由於許可權方案錯誤,以下內部信息容易受到攻擊:
任何擁有該系統鏈接的人都可以從任何地方訪問它們並獲取各種敏感信息,由於這些鏈接可能被所有搜索引擎編入索引,因此任何人都可以通過一些簡單的搜索查詢輕鬆找到它們。
來看看一些泄露的數據:
1. NASA員工數據
2. JIRA 過濾器公開訪問
3. NASA 項目詳情
如上所示,由於這些配置錯誤的JIRA設置,它會公開員工姓名,員工角色,即將到來的里程碑,秘密項目以及各種其他信息。
現在,我來介紹一下如何通過 來自「Google dorks」(搜索查詢)找到這些公開曝光的用戶選擇器功能、過濾器以及許多公司的儀錶板的鏈接/URL。
我通過 Google 的搜索如下:
inurl:/UserPickerBrowser.jspa -intitle:Login -intitle:Log
然後結果就出來了:
此查詢列出了其URI中具有「UserPickerBrowser」的所有URL,以查找公開而且不需要經過身份驗證的所有配置錯誤的 JIRA 用戶選擇器功能。
谷歌收購Apigee員工數據公開曝光
Go-jek 員工數據公開曝光
還有前面提到的 NASA 泄露的數據。
對於過濾器和儀錶板,我們可以看到這些過濾器和儀錶板的URL包含「Managefilters」和「ConfigurePortal」作為一部分。 我繼續創建搜索查詢 -
inurl:/ManageFilters.jspa?filterView=popular AND ( intext:All users OR intext:Shared with the public OR intext:Public )
此查詢列出了所有在其URI中具有「Managefilters」並且文本為「Public」的URL,以便找到所有公開暴露且未經過身份驗證的錯誤配置的JIRA過濾器。
結果如下:
inurl:/ConfigurePortalPages!default.jspa?view=popular
此查詢列出其URI中具有「ConfigurePortalPages」的所有URL,以查找公開公開的所有JIRA儀錶板。
在進一步偵察(信息收集)時,我發現各公司都有「company.atlassian.net」格式的JIRA URL,因此如果您想檢查任何配置錯誤的過濾器,儀錶板或用戶選擇器功能的公司,您需要 只需將他們的名字放在URL中 -
https://companyname.atlassian.net/secure/popups/UserPickerBrowser.jspa
https://companyname.atlassian.net/secure/ManageFilters.jspa?filterView=popular
https://companyname.atlassian.net/secure/ConfigurePortalPages!default.jspa?view=popular
數以千計的公司過濾器,儀錶板和員工數據被公開曝光。 這是因為設置為過濾器和儀錶板的錯誤許可權方案因此甚至提供了對未登錄用戶的訪問許可權,從而導致敏感數據泄漏。 我在數百家公司中發現了幾個錯誤配置的JIRA帳戶。 一些公司來自Alexa和Fortune的頂級名單,包括像NASA,谷歌,雅虎等大型巨頭和政府網站,以及 -
巴西政府對Jira過濾器錯誤配置了他們的道路和運輸系統,因此暴露了他們的一些項目細節,員工姓名等,這些都是在與他們聯繫后修復的。
同樣,聯合國意外地將他們的Jira過濾器和Jira儀錶板公開,因此暴露了他們的內部項目細節,秘密里程碑等,在我報告之後由他們修復並且在他們的名人堂名單中得到獎勵。
當他們的商業金融軟體系統和解決方案具有相同的Jira錯誤配置並暴露其內部敏感項目和員工細節時,甚至歐洲政府也遭受了同樣的風險。 在我向他們發送報告后,他們也對其進行了修復,並在其名人堂名單中得到了認可。
這些公開可用的過濾器和儀錶板提供了詳細信息,例如員工角色,員工姓名,郵件ID,即將到來的里程碑,秘密項目和功能。 而用戶選擇器功能公開了內部用戶數據。 競爭對手公司有用的信息,可以了解其競爭對手正在進行的即將到來的里程碑或秘密項目的類型。 即使是攻擊者也可以從中獲取一些信息並將其與其他類型的攻擊聯繫起來。 顯然,它不應該是公開的,這不是安全問題,而是隱私問題。
我向不同的公司報告了這個問題,一些人給了我一些獎勵,一些人修復了它,而另一些人仍在使用它。 雖然這是一個錯誤配置問題,Atlassian(JIRA)必須處理並更明確地明確「任何登錄用戶」的含義,無論是JIRA的任何登錄用戶還是僅登錄屬於特定 JIRA 公司帳戶的用戶。
歡迎關注紅薯的個人公眾號 —— 紅薯胡說。
[admin
]