©
P-Reliz.ru - агрегатор пресс-релизов

Varonis предупреждает о возможных рисках ошибочных конфигураций Jira

Компания Varonis, один из новаторов мирового рынка безопасности и аналитики данных, сообщает, что ошибки в организации доступа к Jira могут привести к компрометации данных сотрудников и проектов сотен компаний, в том числе, входящих в список Fortune 1000. Вероятность такого риска была выявлена экспертами Varonis, проанализировавших 812 поддоменов корпоративных сайтов. Поддомены открывают доступ к средам Jira, через которые доступны 3774 информационные панели, 244 проекта и 75629 записи, содержащие адреса электронной почты, URL- и IP-адреса.

В ходе исследования было обнаружено, что API Jira REST предоставляет доступ к гораздо большему объему данных, нежели веб-интерфейс. Эта особенность API не является уязвимостью и проявляется только в случае неверного конфигурирования прав доступа. Тем не менее, администраторы Jira могут быть введены в заблуждение и неумышленно открыть доступ к конфиденциальным данным.  

Так, во время мониторинга систем одной из логистических компаний была обнаружена в открытом доступе панель управления Jira, которая содержала общедоступные URL-адреса конфиденциальных систем компании. В другом случае (речь идет об одной из финансовых организаций) эксперты Varonis обнаружили, что в открытом доступе из-за ошибки с правами доступа оказались адреса электронной почты сотрудников банка. И в том, и в другом случае информация могла использоваться злоумышленниками для проведения фишинговых атак или попыток взлома корпоративных систем.    

Jira – популярный сервис компании Atlassian, который используется для организации команд разработчиков ПО. Один из его элементов – информационные панели, используемые менеджментом рабочих групп. Права доступа к информационным панелям могут настраиваться администраторами систем. Из-за неточных формулировок, использовавшихся ранее в интерфейсе управления доступом, администраторы Jira могли по ошибке предоставлять доступ к информационным панелям Jira всем желающим. Несколько лет назад Atlassian исправила эту уязвимость, однако глобальное отключение открытого доступа не приводит к автоматическому удалению общедоступных разрешений с объектов Jira – необходимо перенастроить параметры общего доступа на каждой панели управления. Исследовательская группа Varonis обнаружила, что можно извлечь больше открытых данных, используя REST API Jira. При помощи REST API злоумышленник может написать простой скрипт для сканирования учетной записи Jira компании и быстрого извлечения конфиденциальных данных.

Не устраненные ошибки могут использоваться киберпреступниками для получения как общей информации (название проекта, состав его участников), так и детальной информации, – URL-адресов информационных систем компании, адресов электронной почты ее сотрудников, включая адреса администраторов систем. Все эти данные могут использоваться для проведения атак на инфраструктуру: рассылки фишинговых писем, взлома систем при помощи перебора паролей или известных уязвимостей.

«Стоит напомнить, что ошибки, связанные с организацией доступа к информационным системам компаний признаны наиболее существенным риском сообществом обеспечения безопасности веб-приложений OWASP Foundation. Причина столь серьезной оценки этой категории рисков – использование компаниями огромного числа SaaS-приложений, многие из которых интегрируются друг с другом и могут быть скомпрометированы из-за ошибочной конфигурации сторонних сервисов», – отмечает Даниэль Гутман, глава Varonis в России.

Эксперты Varonis считают, что из-за ошибки с правами доступа к панелям Jira могли быть скомпрометированы 3 тысячи адресов электронной почты, 5500 IPv4- и более 60000 URL-адресов корпоративных информационных систем.

Varonis рекомендует всем организациям, использующим Jira как в облачной, так и в on-premise инфраструктурах, провести аудит политик доступа к своим системам. Для этого можно использовать специальный сервис компании Atlassian, который описывает все необходимые для устранения ошибок меры. Кроме того, администраторы могут провести проверку прав доступа в настройках Jira (Settings-System-Global Permissions).


О компании Varonis (https://www.varonis.com/ru/)
Varonis Systems – разработчик программных решений для защиты от комплексных кибератак, основанных на поведенческом анализе пользователей и защите данных компании. Компания была основана в 2005 году, став пионером в области управления и контроля неструктурированных данных. По разным источникам, Varonis занимает более 70% мирового рынка в этой области. Среди разработок Varonis решение по аудиту периметра сети и поведенческому анализу, которое помогает заказчикам вовремя выявлять продвинутые кибератаки и защищаться от них. Сегодня у компании более 7000 заказчиков во всем мире.

P-Reliz.ru - аггрегатор пресс-релизов

Другие пресс-релизы ООО "Информационно-аналитический центр"


Созданы инструкции по взаимодействию модулей отечественных ERP

Автономная некоммерческая организация «Национальный центр компетенций по информационным системам управления холдингом» разработала интеграционный стандарт отечественных СУР (ERP). Об этом сообщил генеральный директор АНО «НЦК ИСУ» Кирилл Семион в ходе заседания в Совете Федерации РФ.


iFellow обновила ИИ-сервис для рекрутинга «Наймус»

ИТ-компания iFellow, специализирующаяся на разработке, тестировании и сопровождении ПО, выпустила обновления для облачного сервиса по подбору персонала «Наймус». Пользователи теперь могут обрабатывать большее количество файлов за одну заявку, результаты ранжирования кандидатов отображаются в отдельном поле и обновляются автоматически, а интерфейс стал более удобным.


«Райтек ДТГ» вошел в Рейтинг работодателей РБК 2024

Компания «Райтек ДТГ», один из ведущих российских системных интеграторов для промышленности, включена в Рейтинг работодателей РБК 2024. Рейтинг был представлен на десятом HR-форуме РБК.


«DатаРу Облако» интегрирует решения РЕД СОФТ на свою облачную платформу

Разработчик высокотехнологичной платформы «DатаРу Облако» и разработчик отечественного ПО РЕД СОФТ заключили соглашение о сотрудничестве, направленное на развитие облачных услуг на российском рынке. Линейка решений от РЕД СОФТ войдет в состав решений «DатаРу Облако». Компании предоставят заказчикам доступ к российским ИТ-продуктам в формате аренды.


«Райтек ДТГ» разработал свой первый ИИ-продукт, который сэкономит компаниям до полумиллиона рублей в месяц

Компания «Райтек ДТГ», один из ведущих российских системных интеграторов для промышленности, разработала свое первое ИТ-решение на основе искусственного интеллекта. Продукт предлагает интегрированный подход к автоматизации процессов технической поддержки, анализу инцидентов и управлению производственными задачами.


ГК MONT открыла инновационный шоурум кибербезопасности

Группа компаний MONT запустила технологический шоурум для демонстрации передовых решений и технологий в сфере информационной безопасности. Пространство открылось по адресу: Офис MONT, Москва, Пресненский Вал, 14, 10 этаж.


ГК SIMETRA и ОАО «НИИАТ» объявили о стратегическом партнёрстве

ГК SIMETRA и ОАО «Научно-исследовательский институт автомобильного транспорта» (НИИАТ) заключили соглашение о стратегическом партнёрстве. В рамках сотрудничества специалисты SIMETRA и НИИАТ будут совместно работать над расширением функциональных возможностей программного обеспечения RITM³, включая его доработку под специфические задачи НИИАТ.