Пресс-релизы //

Varonis предупреждает о возможных рисках ошибочных конфигураций Jira

Компания Varonis, один из новаторов мирового рынка безопасности и аналитики данных, сообщает, что ошибки в организации доступа к Jira могут привести к компрометации данных сотрудников и проектов сотен компаний, в том числе, входящих в список Fortune 1000. Вероятность такого риска была выявлена экспертами Varonis, проанализировавших 812 поддоменов корпоративных сайтов. Поддомены открывают доступ к средам Jira, через которые доступны 3774 информационные панели, 244 проекта и 75629 записи, содержащие адреса электронной почты, URL- и IP-адреса.

В ходе исследования было обнаружено, что API Jira REST предоставляет доступ к гораздо большему объему данных, нежели веб-интерфейс. Эта особенность API не является уязвимостью и проявляется только в случае неверного конфигурирования прав доступа. Тем не менее, администраторы Jira могут быть введены в заблуждение и неумышленно открыть доступ к конфиденциальным данным.

Так, во время мониторинга систем одной из логистических компаний была обнаружена в открытом доступе панель управления Jira, которая содержала общедоступные URL-адреса конфиденциальных систем компании. В другом случае (речь идет об одной из финансовых организаций) эксперты Varonis обнаружили, что в открытом доступе из-за ошибки с правами доступа оказались адреса электронной почты сотрудников банка. И в том, и в другом случае информация могла использоваться злоумышленниками для проведения фишинговых атак или попыток взлома корпоративных систем.

Jira – популярный сервис компании Atlassian, который используется для организации команд разработчиков ПО. Один из его элементов – информационные панели, используемые менеджментом рабочих групп. Права доступа к информационным панелям могут настраиваться администраторами систем. Из-за неточных формулировок, использовавшихся ранее в интерфейсе управления доступом, администраторы Jira могли по ошибке предоставлять доступ к информационным панелям Jira всем желающим. Несколько лет назад Atlassian исправила эту уязвимость, однако глобальное отключение открытого доступа не приводит к автоматическому удалению общедоступных разрешений с объектов Jira – необходимо перенастроить параметры общего доступа на каждой панели управления. Исследовательская группа Varonis обнаружила, что можно извлечь больше открытых данных, используя REST API Jira. При помощи REST API злоумышленник может написать простой скрипт для сканирования учетной записи Jira компании и быстрого извлечения конфиденциальных данных.

Не устраненные ошибки могут использоваться киберпреступниками для получения как общей информации (название проекта, состав его участников), так и детальной информации, – URL-адресов информационных систем компании, адресов электронной почты ее сотрудников, включая адреса администраторов систем. Все эти данные могут использоваться для проведения атак на инфраструктуру: рассылки фишинговых писем, взлома систем при помощи перебора паролей или известных уязвимостей.

«Стоит напомнить, что ошибки, связанные с организацией доступа к информационным системам компаний признаны наиболее существенным риском сообществом обеспечения безопасности веб-приложений OWASP Foundation. Причина столь серьезной оценки этой категории рисков – использование компаниями огромного числа SaaS-приложений, многие из которых интегрируются друг с другом и могут быть скомпрометированы из-за ошибочной конфигурации сторонних сервисов», – отмечает Даниэль Гутман, глава Varonis в России.

Эксперты Varonis считают, что из-за ошибки с правами доступа к панелям Jira могли быть скомпрометированы 3 тысячи адресов электронной почты, 5500 IPv4- и более 60000 URL-адресов корпоративных информационных систем.

Varonis рекомендует всем организациям, использующим Jira как в облачной, так и в on-premise инфраструктурах, провести аудит политик доступа к своим системам. Для этого можно использовать специальный сервис компании Atlassian, который описывает все необходимые для устранения ошибок меры. Кроме того, администраторы могут провести проверку прав доступа в настройках Jira (Settings-System-Global Permissions).

О компании Varonis (https://www.varonis.com/ru/)
Varonis Systems – разработчик программных решений для защиты от комплексных кибератак, основанных на поведенческом анализе пользователей и защите данных компании. Компания была основана в 2005 году, став пионером в области управления и контроля неструктурированных данных. По разным источникам, Varonis занимает более 70% мирового рынка в этой области. Среди разработок Varonis решение по аудиту периметра сети и поведенческому анализу, которое помогает заказчикам вовремя выявлять продвинутые кибератаки и защищаться от них. Сегодня у компании более 7000 заказчиков во всем мире.

Контактное лицо: Татьяна Алексеева
Компания: Varonis
Добавлен: 18:03, 03.12.2021 Количество просмотров: 717
Страна: Россия

Сетевое оборудование SYMANITRON для систем безопасности доступно клиентам «АРМО-Системы», АРМО-Системы, 22:13, 07.07.2025, Россия104
«АРМО-Системы» объявила о партнерстве с ГК «Симанитрон»

БФТ-Холдинг и «ОБИТ» заключили партнёрское соглашение, БФТ-Холдинг, 22:12, 07.07.2025, Россия95
Оператор ИТ-решений «ОБИТ» и БФТ-Холдинг объявили о заключении партнёрского соглашения для совместного развития проектов в области SRM- и EAM-решений в корпоративном и отраслевом сегментах.

Jinn Server 1.3.7 от «Кода Безопасности» получил сертификаты ФСБ России и поступает в продажу, Код Безопасности, 22:11, 07.07.2025, Россия85

Программно-аппаратный комплекс электронной подписи Jinn Server. Версия 1.3 (сборка 1.3.7.218) успешно прошел инспекционный контроль ФСБ РФ. Теперь продукт «Кода Безопасности» доступен для заказа.

Афиша мероприятий на июль в ТРЦ «Нора», ТРЦ Нора, 22:08, 07.07.2025, Россия95

Торгово-развлекательный центр «Нора» готов встретить июль ярким и насыщенным календарём мероприятий для всей семьи! Этот месяц в «Норе» станет месяцем незабываемых впечатлений, радостных открытий и весёлых развлечений для всех посетителей

Wone IT завершила проект цифровой трансформации Ленстройтреста на базе ELMA365, WONE IT, 22:07, 07.07.2025, Россия98

Wone IT сообщает о завершении проекта по автоматизации управления строительством для компании «Ленстройтрест» с помощью платформы ELMA365. Внедрение позволило существенно сократить сроки согласований и повысить прозрачность ключевых процессов.

Hybrid Platform снова стала №1 среди DSP по версии AdIndex, Hybrid, 11:45, 05.07.2025, Россия296

Компания Hybrid, специализирующаяся на высокотехнологичных разработках в области интернет-рекламы, снова заняла первое место в рейтинге AdIndex Technology Index 2025 в категории DSP-платформ. Это уже второй год подряд, когда Hybrid признаётся лидером в сегменте программатик-закупки.

CorpSoft24: Изменения в 152-ФЗ вызовут рост облачного рынка России, CorpSoft24, 11:45, 05.07.2025, Россия304

Изменения в Федеральном законе №152-ФЗ «О персональных данных», вступившие в силу 1 июля 2025 года, поспособствуют усилению безопасности переданной операторам личной информации граждан и приведут к росту российского облачного рынка, прогнозируют эксперты компании CorpSoft24.

Корпоративное обучение в 2025 году: скорость, адаптация и разумное использование ИИ, iSpring, 11:45, 05.07.2025, Россия335
Во втором квартале 2025 года компания iSpring провела опрос о тенденциях в корпоративном обучении среди представителей 132 российских компаний. Результаты исследования выявили ключевые вызовы и ожидания в этой сфере.

Эксперт «Швабе» поделился опытом выстраивания экосистем интеллектуальных платформ, Холдинг «Швабе», 11:44, 05.07.2025, Россия292

Представитель холдинга «Швабе» Госкорпорации Ростех на полях XVI Международного IT-Форума с участием стран БРИКС и ШОС в Ханты-Мансийске поделился опытом применения экосистемного подхода при внедрении масштабных интеллектуальных платформ.

LG OLED EVO M5 — ПО-НАСТОЯЩЕМУ БЕСПРОВОДНОЙ OLED ТЕЛЕВИЗОР С ОТЛИЧНЫМ КАЧЕСТВОМ ИЗОБРАЖЕНИЯ УРОВНЯ МОДЕЛИ G5, LG Electronics, 11:44, 05.07.2025, Россия293

Компания LG Electronics (LG) представляет серию беспроводных OLED телевизоров LG OLED evo M5, которая сочетает в себе передовую технологию LG True Wireless1 с качеством изображения LG OLED модели G52

RedLab на ПМЭФ-2025: о вызовах, решениях и технологических трендах, RedLab, 11:42, 05.07.2025, Россия303
18-21 июня прошел XXVIII Петербургский международный экономический форум. Мероприятие посетили свыше 24 000 участников из 144 государств.

Linx Cloud вошел в топ-10 провайдеров в рейтинге IaaS Enterprise, Linx, 22:30, 03.07.2025, Россия368
Linx Cloud занял 7-е место в рейтинге провайдеров IaaS Enterprise 2025, составленным Market.CNews. В прошлом году компания была на 18-м месте. Таким образом, Linx Cloud за год поднялся в рейтинге на 11 пунктов.

Цифровая крепость: Бастион провел ребрендинг, Бастион, 16:49, 03.07.2025, Россия260

Компания по информационной безопасности «Бастион» провела ребрендинг. В обновленную айдентику вошли логотип и фирменный стиль, отражающие ключевые ценности бренда: надежность, экспертность и высокотехнологичность. Новый визуальный код подчеркивает глубину и точность экспертизы, приобретенной за годы существования компании.

Российский производитель решений по автоматизации телефонии «Агат-РТ» переводит свои ключевые продукты на операционную систему Astra Linux Embedded, "Группа Астра", 16:24, 03.07.2025, Россия258

Использование защищенной отечественной ОС расширяет возможности применения оборудования в государственных учреждениях, силовых структурах, финансовых, коммерческих и других организациях с высокими требованиями к защите данных.

Сергей Мозжеров назначен директором по продукту In.Plan, Axenix, 16:07, 03.07.2025, Россия110
Консалтинговая компания Axenix объявила о назначении Сергея Мозжерова директором по продукту (CPO) платформы интегрированного бизнес-планирования In.Plan. Ранее он занимал позицию технического директора.