Yanlış Yapılandırılmış Jira Sunucuları Veri Sızdırdı

Güvenlik araştırmacısı Avinash Jain, popüler proje yönetimi JIRA  yazılımında yapılan bir yanlış yapılandırmanın yüzlerce şirkete ilişkin büyük miktarda veriyi ortaya çıkardığını buldu.

JIRA, yüzlerce Fortune 500 şirketi de dahil olmak üzere, dünya genelinde 135.000’den fazla şirket ve kuruluş tarafından kullanılmaktadır. Etkilenen kuruluşlardan bazıları NASA, Google, Yahoo, Go-Jek, HipChat, Zendesk, Sapient, Dubsmash, Western Union, Lenovo, 1Password, Informatica ve daha fazlasını içerir.

Birçok hükümet kurululuşu ile  sektörün sorundan etkilendiğini, güvenlik araştırmacı ortaya koydu.  (Birleşmiş Milletler, Brezilya hükümeti ulaşım portalı, Kanada hükümeti finans portalı ve Avrupa Birliğinin bir portalı gibi).

Yapılan yanlış yapılandırma ile adlar ve e-posta kimlikleri, proje detayları, bu projelerin atanması ve diğer çeşitli bilgiler gibi dahili kullanıcı verilerine erişmek için kullanılabileceğini açıklıyor.

Sorun, JIRA’da filtre veya gösterge tablosu oluştururken yanlış izinlerin atanmış olmasıdır. Varsayılan olarak  görünürlük, sırasıyla “Tüm kullanıcılar” ve “Herkes” olarak ayarlanmıştır; ikincisi, filtrelerin ve gösterge tablolarının genel olarak paylaşıldığı anlamına gelir.

Ek olarak, JIRA’daki bir kullanıcı seçme işlevi, aracın Genel İzinler ayarlarında bir yetkilendirmenin yanlış yapılandırması nedeniyle her kullanıcının kullanıcı adı ve e-posta adresinin tam bir listesini sunar.

Bu yanlış izin programı, hesabın çalışanlarının adları ve e-postaları gibi dahili bilgileri gösterir; JIRA grupları aracılığıyla çalışanların rolleri; ve mevcut projeler, JIRA panoları / filtreleri ile yaklaşmakta olan hedefler.

Güvenlik araştırmacısı, “Bağlantıya sahip olan herkes, herhangi bir yerden onlara erişebilir ve çeşitli hassas bilgileri alabilir ve tüm arama motorları tarafından indekslendiğinden, herkes bunları basit arama sorgularıyla  kolayca bulabilir” diyor.

Jain, herkese açık kullanıcı  işlevselliğini / URL’lerini bulmak için Google arama sorgularını kullandı. Bir sorgu URI’larında “UserPickerBrowser” olan tüm URL’leri, diğeri URI’larında “Managefilters” olanları listelerken, üçüncüsü URI’larında “ConfigurePortalPages” olan tüm URL’leri listeler.

Araştırmacı ayrıca, diğer şirketlerin “company.atlassian.net” biçiminde JIRA URL’si olacağını söylüyor.

Yanlış yapılandırmanın, binlerce şirketin filtrelerinin, gösterge panolarının ve personel verilerinin kamuya açık bir şekilde ortaya çıkmasına yol açtığını belirtti. Açıklanan veriler, saldırganlara çalışan rolleri, çalışan adları, e-posta kimlikleri, hedefler, gizli projeler ve özellikler gibi bilgilere erişim sağlayabilir.

Araştırmacı, konuyu ele almaya karar veren ve hatta onu ödüllendiren çeşitli şirketlere bildirdiğini söyledi. Öte yandan, diğerleri hiçbir şey yapmadı.

About The Author

Reply