來自國外的開發(fā)者Avinash Jain在8月2日時(shí)發(fā)表了一篇文章，揭露全球范圍內(nèi)使用非常廣泛的問題跟蹤軟件JIRA由于錯(cuò)誤的配置導(dǎo)致成千上萬的公司

來自國外的開發(fā)者Avinash Jain在8月2日時(shí)發(fā)表了一篇文章，揭露全球范圍內(nèi)使用非常廣泛的問題跟蹤軟件JIRA由于錯(cuò)誤的配置導(dǎo)致成千上萬的公司泄露了內(nèi)部的員工以及項(xiàng)目數(shù)據(jù)的問題。Jain同時(shí)提供了如何去找出這些存在漏洞的JIRA系統(tǒng)的方法。

以下是Jain文章的內(nèi)容：

幾個(gè)月前，我發(fā)表了一篇關(guān)于“JIRA泄露NASA員工和項(xiàng)目數(shù)據(jù)”的文章，我能夠在這些泄露的數(shù)據(jù)中找到NASA員工的詳細(xì)信息，包括用戶名、電子郵件、ID以及他們的內(nèi)部項(xiàng)目詳細(xì)信息。他們用的就是Atlassian的JIRA工具-一個(gè)獨(dú)立任務(wù)跟蹤系統(tǒng)/項(xiàng)目管理軟件，全球約有135,000家公司和組織在使用。而這次數(shù)據(jù)泄漏的根本原因是JIRA中存在的瘋狂錯(cuò)誤配置。為什么使用“狂野”一詞，是因?yàn)槿绻愕墓疽苍谑褂孟嗤腻e(cuò)誤配置，那么我也可以訪問你們內(nèi)部的用戶數(shù)據(jù)和內(nèi)部項(xiàng)目詳細(xì)信息。

受影響的客戶包括NASA，谷歌，雅虎，Go-Jek，HipChat，Zendesk，Sapient，Dubsmash，西聯(lián)匯款，聯(lián)想，1password，Informatica等公司，以及世界各地政府的許多部門也遭受同樣的影響，如歐洲政府，聯(lián)合國，美國航天局，巴西政府運(yùn)輸門戶網(wǎng)站，加拿大政府財(cái)政門戶網(wǎng)站之一等。

接下來我將分享我在Jira(Atlassian任務(wù)跟蹤系統(tǒng)/項(xiàng)目管理軟件)中發(fā)現(xiàn)的那個(gè)關(guān)鍵漏洞，或者更具體地說是導(dǎo)致組織和公司內(nèi)部敏感信息泄露的錯(cuò)誤配置問題。

讓我們看看究竟是什么問題!

在JIRA中創(chuàng)建過濾器或儀表板時(shí)，它提供了一些可見性選項(xiàng)。問題是由于分配給它們的權(quán)限錯(cuò)誤。當(dāng)在JIRA中創(chuàng)建項(xiàng)目/問題的過濾器和儀表板時(shí)，默認(rèn)情況下，可見性分別設(shè)置為“所有用戶”和“所有人”，而不是與組織中的每個(gè)人共享，所以這些信息被完全公開了。JIRA中還有一個(gè)用戶選擇器功能，它提供了每個(gè)用戶的用戶名和電子郵件地址的完整列表。此信息泄露是JIRA全局權(quán)限設(shè)置中授權(quán)配置錯(cuò)誤的結(jié)果。由于權(quán)限方案錯(cuò)誤，以下內(nèi)部信息容易受到攻擊：

所有賬號(hào)的雇員姓名和郵箱地址

雇員的角色

項(xiàng)目信息、里程碑等

任何擁有該系統(tǒng)鏈接的人都可以從任何地方訪問它們并獲取各種敏感信息，由于這些鏈接可能被所有搜索引擎編入索引，因此任何人都可以通過一些簡單的搜索查詢輕松找到它們。

來看看一些泄露的數(shù)據(jù)：

1.NASA員工數(shù)據(jù)

2. JIRA過濾器公開訪問

3. NASA項(xiàng)目詳情

如上所示，由于這些配置錯(cuò)誤的JIRA設(shè)置，它會(huì)公開員工姓名，員工角色，即將到來的里程碑，秘密項(xiàng)目以及各種其他信息。

現(xiàn)在，我來介紹一下如何通過來自“Google dorks”(搜索查詢)找到這些公開曝光的用戶選擇器功能、過濾器以及許多公司的儀表板的鏈接/URL。

我通過Google的搜索如下：

inurl:/UserPickerBrowser.jspa-intitle:Login-intitle:Log

然后結(jié)果就出來了：

此查詢列出了其URI中具有“UserPickerBrowser”的所有URL，以查找公開而且不需要經(jīng)過身份驗(yàn)證的所有配置錯(cuò)誤的JIRA用戶選擇器功能。

谷歌收購Apigee員工數(shù)據(jù)公開曝光

Go-jek員工數(shù)據(jù)公開曝光

還有前面提到的NASA泄露的數(shù)據(jù)。

對于過濾器和儀表板，我們可以看到這些過濾器和儀表板的URL包含“Managefilters”和“ConfigurePortal”作為一部分。我繼續(xù)創(chuàng)建搜索查詢

inurl:/ManageFilters.jspa?filterView=popularAND(intext:AllusersORintext:SharedwiththepublicORintext:Public)

此查詢列出了所有在其URI中具有“Managefilters”并且文本為“Public”的URL，以便找到所有公開暴露且未經(jīng)過身份驗(yàn)證的錯(cuò)誤配置的JIRA過濾器。

結(jié)果如下：

inurl:/ConfigurePortalPages!default.jspa?view=popular

此查詢列出其URI中具有“ConfigurePortalPages”的所有URL，以查找公開公開的所有JIRA儀表板。

在進(jìn)一步偵察(信息收集)時(shí)，我發(fā)現(xiàn)各公司都有“company.atlassian.net”格式的JIRA URL，因此如果您想檢查任何配置錯(cuò)誤的過濾器，儀表板或用戶選擇器功能的公司，您需要只需將他們的名字放在URL中

https://companyname.atlassian.net/secure/popups/UserPickerBrowser.jspa

https://companyname.atlassian.net/secure/ManageFilters.jspa?filterView=popular

https://companyname.atlassian.net/secure/ConfigurePortalPages!default.jspa?view=popular

數(shù)以千計(jì)的公司過濾器，儀表板和員工數(shù)據(jù)被公開曝光。這是因?yàn)樵O(shè)置為過濾器和儀表板的錯(cuò)誤權(quán)限方案因此甚至提供了對未登錄用戶的訪問權(quán)限，從而導(dǎo)致敏感數(shù)據(jù)泄漏。我在數(shù)百家公司中發(fā)現(xiàn)了幾個(gè)錯(cuò)誤配置的JIRA帳戶。一些公司來自Alexa和Fortune的頂級名單，包括像NASA，谷歌，雅虎等大型巨頭和政府網(wǎng)站，以及巴西政府對Jira過濾器錯(cuò)誤配置了他們的道路和運(yùn)輸系統(tǒng)，因此暴露了他們的一些項(xiàng)目細(xì)節(jié)，員工姓名等，這些都是在與他們聯(lián)系后修復(fù)的。

同樣，聯(lián)合國意外地將他們的Jira過濾器和Jira儀表板公開，因此暴露了他們的內(nèi)部項(xiàng)目細(xì)節(jié)，秘密里程碑等，在我報(bào)告之后由他們修復(fù)并且在他們的名人堂名單中得到獎(jiǎng)勵(lì)。

當(dāng)他們的商業(yè)金融軟件系統(tǒng)和解決方案具有相同的Jira錯(cuò)誤配置并暴露其內(nèi)部敏感項(xiàng)目和員工細(xì)節(jié)時(shí)，甚至歐洲政府也遭受了同樣的風(fēng)險(xiǎn)。在我向他們發(fā)送報(bào)告后，他們也對其進(jìn)行了修復(fù)，并在其名人堂名單中得到了認(rèn)可。

這些公開可用的過濾器和儀表板提供了詳細(xì)信息，例如員工角色，員工姓名，郵件ID，即將到來的里程碑，秘密項(xiàng)目和功能。而用戶選擇器功能公開了內(nèi)部用戶數(shù)據(jù)。競爭對手公司有用的信息，可以了解其競爭對手正在進(jìn)行的即將到來的里程碑或秘密項(xiàng)目的類型。即使是攻擊者也可以從中獲取一些信息并將其與其他類型的攻擊聯(lián)系起來。顯然，它不應(yīng)該是公開的，這不是安全問題，而是隱私問題。

我向不同的公司報(bào)告了這個(gè)問題，一些人給了我一些獎(jiǎng)勵(lì)，一些人修復(fù)了它，而另一些人仍在使用它。雖然這是一個(gè)錯(cuò)誤配置問題，Atlassian(JIRA)必須處理并更明確地明確“任何登錄用戶”的含義，無論是JIRA的任何登錄用戶還是僅登錄屬于特定JIRA公司帳戶的用戶。（紅薯）

關(guān)鍵詞： JIRA 配置錯(cuò)誤 數(shù)據(jù)泄露