Пресс-релизы // » Добавить пресс-релиз

Varonis предупреждает о возможных рисках ошибочных конфигураций Jira

Компания Varonis, один из новаторов мирового рынка безопасности и аналитики данных, сообщает, что ошибки в организации доступа к Jira могут привести к компрометации данных сотрудников и проектов сотен компаний, в том числе, входящих в список Fortune 1000. Вероятность такого риска была выявлена экспертами Varonis, проанализировавших 812 поддоменов корпоративных сайтов. Поддомены открывают доступ к средам Jira, через которые доступны 3774 информационные панели, 244 проекта и 75629 записи, содержащие адреса электронной почты, URL- и IP-адреса.

В ходе исследования было обнаружено, что API Jira REST предоставляет доступ к гораздо большему объему данных, нежели веб-интерфейс. Эта особенность API не является уязвимостью и проявляется только в случае неверного конфигурирования прав доступа. Тем не менее, администраторы Jira могут быть введены в заблуждение и неумышленно открыть доступ к конфиденциальным данным.

Так, во время мониторинга систем одной из логистических компаний была обнаружена в открытом доступе панель управления Jira, которая содержала общедоступные URL-адреса конфиденциальных систем компании. В другом случае (речь идет об одной из финансовых организаций) эксперты Varonis обнаружили, что в открытом доступе из-за ошибки с правами доступа оказались адреса электронной почты сотрудников банка. И в том, и в другом случае информация могла использоваться злоумышленниками для проведения фишинговых атак или попыток взлома корпоративных систем.

Jira – популярный сервис компании Atlassian, который используется для организации команд разработчиков ПО. Один из его элементов – информационные панели, используемые менеджментом рабочих групп. Права доступа к информационным панелям могут настраиваться администраторами систем. Из-за неточных формулировок, использовавшихся ранее в интерфейсе управления доступом, администраторы Jira могли по ошибке предоставлять доступ к информационным панелям Jira всем желающим. Несколько лет назад Atlassian исправила эту уязвимость, однако глобальное отключение открытого доступа не приводит к автоматическому удалению общедоступных разрешений с объектов Jira – необходимо перенастроить параметры общего доступа на каждой панели управления. Исследовательская группа Varonis обнаружила, что можно извлечь больше открытых данных, используя REST API Jira. При помощи REST API злоумышленник может написать простой скрипт для сканирования учетной записи Jira компании и быстрого извлечения конфиденциальных данных.

Не устраненные ошибки могут использоваться киберпреступниками для получения как общей информации (название проекта, состав его участников), так и детальной информации, – URL-адресов информационных систем компании, адресов электронной почты ее сотрудников, включая адреса администраторов систем. Все эти данные могут использоваться для проведения атак на инфраструктуру: рассылки фишинговых писем, взлома систем при помощи перебора паролей или известных уязвимостей.

«Стоит напомнить, что ошибки, связанные с организацией доступа к информационным системам компаний признаны наиболее существенным риском сообществом обеспечения безопасности веб-приложений OWASP Foundation. Причина столь серьезной оценки этой категории рисков – использование компаниями огромного числа SaaS-приложений, многие из которых интегрируются друг с другом и могут быть скомпрометированы из-за ошибочной конфигурации сторонних сервисов», – отмечает Даниэль Гутман, глава Varonis в России.

Эксперты Varonis считают, что из-за ошибки с правами доступа к панелям Jira могли быть скомпрометированы 3 тысячи адресов электронной почты, 5500 IPv4- и более 60000 URL-адресов корпоративных информационных систем.

Varonis рекомендует всем организациям, использующим Jira как в облачной, так и в on-premise инфраструктурах, провести аудит политик доступа к своим системам. Для этого можно использовать специальный сервис компании Atlassian, который описывает все необходимые для устранения ошибок меры. Кроме того, администраторы могут провести проверку прав доступа в настройках Jira (Settings-System-Global Permissions).

О компании Varonis (https://www.varonis.com/ru/)
Varonis Systems – разработчик программных решений для защиты от комплексных кибератак, основанных на поведенческом анализе пользователей и защите данных компании. Компания была основана в 2005 году, став пионером в области управления и контроля неструктурированных данных. По разным источникам, Varonis занимает более 70% мирового рынка в этой области. Среди разработок Varonis решение по аудиту периметра сети и поведенческому анализу, которое помогает заказчикам вовремя выявлять продвинутые кибератаки и защищаться от них. Сегодня у компании более 7000 заказчиков во всем мире.

Контактное лицо: Татьяна Алексеева
Компания: Varonis
Добавлен: 18:03, 03.12.2021 Количество просмотров: 552
Страна: Россия


IT-решения предприятия «Росатома» стали лауреатами национальной премии «Цифровые вершины – 2021», РИР, 16:35, 18.01.2022, Россия357
Сразу три проекта АО «Русатом Инфраструктурные решения (РИР, входит в Госкорпорацию «Росатом») вошли в шорт-лист номинации «Лучшее IT-решение для умного города», став лауреатами национальной премии «Цифровые вершины – 2021».


На Киберполигоне СибГУТИ заработала сеть 5G, СибГУТИ, 16:33, 18.01.2022, Россия359
17 января 2022 коллектив кафедры телекоммуникационных систем и вычислительных средств (ТС и ВС) СибГУТИ продемонстрировал успешную регистрацию телефона Samsung S21+ в сети 5G New Radio, созданной на базе лаборатории исследования мобильных систем новых поколений Киберполигона СибГУТИ.


«ВЕНТАЛЛ» принял участие в строительстве «Павильона атомной энергии» на территории ВДНХ, Венталл, 16:31, 18.01.2022, Россия353
Компания «Ди Ферро», тульская площадка ГК «ВЕНТАЛЛ», поставила профнастил для монтажа кровли павильона «Атом», возводимого государственной корпорацией «Росатом» в рамках обновления ВДНХ.


В ЛЭТИ разработали первую в России установку для автоматизированной сварки литий-ионных аккумуляторов, СПбГЭТУ "ЛЭТИ", 16:30, 18.01.2022, Россия357
Устройство с помощью технологии точечной сварки способно быстро и безопасно собрать литий-ионные батареи в единый массив различных размеров.


CorpSoft24 связала «1С» с операционной системой компании «Логбокс», CorpSoft24, 16:30, 18.01.2022, Россия352
В результате «Логбокс» получила возможность экспортировать данные о движении денежных средств из бухгалтерской программы, видеть практически в режиме реального времени в своей операционной системе сальдо контрагентов, принимать на его основе более эффективные управленческие решения.


Группа Т1 вошла в тройку крупнейших поставщиков ИТ-услуг на российском рынке по версии TAdviser, Группа Т1, 16:28, 18.01.2022, Россия360
Группа Т1, один из лидеров российского ИТ-рынка, заняла второе место в рейтинге TAdviser по объему выручки за 2020 год на российском рынке ИТ-услуг. Выручка Группы Т1 от ИТ-услуг за 2020 год составила 30,8 млрд руб.


Саратовская область снова выбирает AlterOffice, Группа компаний АЛМИ, 16:26, 18.01.2022, Россия359
В рамках реализации политики импортозамещения и становления цифрового суверенитета Группа компаний «АЛМИ» поставила Министерству цифрового развития и связи Саратовской области бессрочные лицензии офисного пакета AlterOffice.


Сервис для заказа временного персонала Ventra Go! привлек инвестиции от ВТБ Капитал Инвестиции на сумму 700 млн руб., Ventra Go!, 16:20, 18.01.2022, Россия357
Платформа для заказа услуг временного персонала массовых профессий по uber-модели Ventra Go! привлекла инвестиции в размере 700 млн рублей от закрытого паевого инвестиционного комбинированного фонда «ВТБ Капитал пре-АйПиО Фонд» (ВТБ Капитал инвестиции).


Автоволонтеры «Милосердия» доставили медиков к 2500 больным липчанам, Благотворительный фонд социальной защиты "Милосердие", 16:19, 18.01.2022, Россия358
Около 2500 рейсов к больным жителям Липецка сделали волонтеры благотворительного фонда «Милосердие» в начала акции по поддержке муниципальных учреждений здравоохранения.


Ceramic 3D бесплатно даст инструменты для запуска онлайн-продаж отделочных материалов, Ceramic 3D, 16:16, 18.01.2022, Россия74
20 января 2022 г. в 13:00 Мск компания Ceramic 3D проведет бесплатный вебинар для магазинов товаров для ремонта, которые хотят зарабатывать больше за счёт проектных продаж через интернет.


Решение по оптимизации и управлению печатью от Konica Minolta снижает расходы ведущего телеком-оператора Австрии, Konica Minolta, 16:07, 18.01.2022, Россия88
А1, крупнейшая компания группы Telekom Austria внедрила решение по оптимизации и управлению печатью от Konica Minolta. Продукт позволил оператору сократить расходы и усовершенствовать ряд бизнес-процессов.


Tarantool запускает тестовую версию платформы, VK Cloud Solutions, 16:03, 18.01.2022, Россия85
VK Цифровые технологии запускает новый облачный сервис Try.Tarantool, который поможет новым пользователям познакомиться с функциональностью платформы in-memory вычислений Tarantool. Решение позволит протестировать Tarantool, не устанавливая программное обеспечение на компьютер.


В Нижегородской области запущен цифровой мониторинг объектов капвложений, БФТ-Холдинг, 20:12, 17.01.2022, Россия295
В едином решении происходит планирование работ по объектам капвложений в части средств и сроков, а также контроль и анализ, включая онлайн-мониторинг выполнения работ на объектах с использованием камер фото- и видеонаблюдения.


«Создать условия для молодых исследователей»: в ЛЭТИ открыта IT-лаборатория, СПбГЭТУ "ЛЭТИ", 20:03, 17.01.2022, Россия302
В январе 2022 года в Санкт-Петербургском государственном электротехническом университете «ЛЭТИ» состоялось торжественное открытие молодежной IT-лаборатории VibeLab.


НОВЕЙШИЕ ИННОВАЦИОННЫЕ РАЗРАБОТКИ LG УДОСТОЕНЫ ПОЧЕТНЫХ НАГРАД НА ВЫСТАВКЕ CES 2022, LG Electronics, 19:53, 17.01.2022, Россия274
LG OLED продолжает многолетнюю традицию и завоевывает почетные награды на Всемирной выставке потребительской электроники


  © 2003-2022 inthepress.ru