Пресс-релизы //

Varonis предупреждает о возможных рисках ошибочных конфигураций Jira

Компания Varonis, один из новаторов мирового рынка безопасности и аналитики данных, сообщает, что ошибки в организации доступа к Jira могут привести к компрометации данных сотрудников и проектов сотен компаний, в том числе, входящих в список Fortune 1000. Вероятность такого риска была выявлена экспертами Varonis, проанализировавших 812 поддоменов корпоративных сайтов. Поддомены открывают доступ к средам Jira, через которые доступны 3774 информационные панели, 244 проекта и 75629 записи, содержащие адреса электронной почты, URL- и IP-адреса.

В ходе исследования было обнаружено, что API Jira REST предоставляет доступ к гораздо большему объему данных, нежели веб-интерфейс. Эта особенность API не является уязвимостью и проявляется только в случае неверного конфигурирования прав доступа. Тем не менее, администраторы Jira могут быть введены в заблуждение и неумышленно открыть доступ к конфиденциальным данным.

Так, во время мониторинга систем одной из логистических компаний была обнаружена в открытом доступе панель управления Jira, которая содержала общедоступные URL-адреса конфиденциальных систем компании. В другом случае (речь идет об одной из финансовых организаций) эксперты Varonis обнаружили, что в открытом доступе из-за ошибки с правами доступа оказались адреса электронной почты сотрудников банка. И в том, и в другом случае информация могла использоваться злоумышленниками для проведения фишинговых атак или попыток взлома корпоративных систем.

Jira – популярный сервис компании Atlassian, который используется для организации команд разработчиков ПО. Один из его элементов – информационные панели, используемые менеджментом рабочих групп. Права доступа к информационным панелям могут настраиваться администраторами систем. Из-за неточных формулировок, использовавшихся ранее в интерфейсе управления доступом, администраторы Jira могли по ошибке предоставлять доступ к информационным панелям Jira всем желающим. Несколько лет назад Atlassian исправила эту уязвимость, однако глобальное отключение открытого доступа не приводит к автоматическому удалению общедоступных разрешений с объектов Jira – необходимо перенастроить параметры общего доступа на каждой панели управления. Исследовательская группа Varonis обнаружила, что можно извлечь больше открытых данных, используя REST API Jira. При помощи REST API злоумышленник может написать простой скрипт для сканирования учетной записи Jira компании и быстрого извлечения конфиденциальных данных.

Не устраненные ошибки могут использоваться киберпреступниками для получения как общей информации (название проекта, состав его участников), так и детальной информации, – URL-адресов информационных систем компании, адресов электронной почты ее сотрудников, включая адреса администраторов систем. Все эти данные могут использоваться для проведения атак на инфраструктуру: рассылки фишинговых писем, взлома систем при помощи перебора паролей или известных уязвимостей.

«Стоит напомнить, что ошибки, связанные с организацией доступа к информационным системам компаний признаны наиболее существенным риском сообществом обеспечения безопасности веб-приложений OWASP Foundation. Причина столь серьезной оценки этой категории рисков – использование компаниями огромного числа SaaS-приложений, многие из которых интегрируются друг с другом и могут быть скомпрометированы из-за ошибочной конфигурации сторонних сервисов», – отмечает Даниэль Гутман, глава Varonis в России.

Эксперты Varonis считают, что из-за ошибки с правами доступа к панелям Jira могли быть скомпрометированы 3 тысячи адресов электронной почты, 5500 IPv4- и более 60000 URL-адресов корпоративных информационных систем.

Varonis рекомендует всем организациям, использующим Jira как в облачной, так и в on-premise инфраструктурах, провести аудит политик доступа к своим системам. Для этого можно использовать специальный сервис компании Atlassian, который описывает все необходимые для устранения ошибок меры. Кроме того, администраторы могут провести проверку прав доступа в настройках Jira (Settings-System-Global Permissions).

О компании Varonis (https://www.varonis.com/ru/)
Varonis Systems – разработчик программных решений для защиты от комплексных кибератак, основанных на поведенческом анализе пользователей и защите данных компании. Компания была основана в 2005 году, став пионером в области управления и контроля неструктурированных данных. По разным источникам, Varonis занимает более 70% мирового рынка в этой области. Среди разработок Varonis решение по аудиту периметра сети и поведенческому анализу, которое помогает заказчикам вовремя выявлять продвинутые кибератаки и защищаться от них. Сегодня у компании более 7000 заказчиков во всем мире.

Контактное лицо: Татьяна Алексеева
Компания: Varonis
Добавлен: 18:03, 03.12.2021 Количество просмотров: 769
Страна: Россия

«1С-Рарус» расширил возможности коммуникаций и обновил интерфейсы в 1С:CRM, 1С-Рарус, 20:22, 28.03.2026, Россия233

«1С-Рарус» совместно с фирмой «1С» развивает линейку решений 1С:CRM. Новые инструменты помогают компаниям быстрее работать с клиентами, видеть узкие места в продажах и повышать качество коммуникаций. В числе новшеств — улучшенный интерфейс, ИИ-ассистент, обновленная воронка продаж, расширенные возможности АРМ «Монитор руководителя» и «Диалоги».

Space и TERA предложат рынку готовые комплексные решения для импортозамещения критически важных систем, ДАКОМ М, 20:22, 28.03.2026, Россия231

Компания TERA, IT-дистрибьютор, и российский разработчик «ДАКОМ М» (бренд Space) объявляют о заключении партнерского соглашения. В рамках сотрудничества TERA будет продвигать всю линейку продуктов экосистемы виртуализации Space.

Ютрейс Промо: новая инфраструктура промоакций для маркированных товаров на базе ГИС МТ «Честный Знак», Utrace, 20:22, 28.03.2026, Россия231

Ютрейс (Utrace), разработчик ИТ-решений для управления цифровой маркировкой, запускает платформу Ютрейс Промо. Это полноценная инфраструктура для промокампаний в категориях маркированных товаров, использующая данные ГИС МТ «Честный Знак».

Без барьера биометрии: «Выберу.ру» составил рейтинг лучших онлайн-займов в марте 2026 года, Финансовый маркетплейс "Выберу.ру", 20:21, 28.03.2026, Россия237

С 1 марта 2026 года онлайн-займы в микрофинансовых компаниях (МФК) клиентам разрешены только по биометрии. Однако МКК кредитуют без этого ограничения. А «Выберу.ру» изучил параметры онлайн-займов и подготовил рейтинг наиболее выгодных продуктов с максимальным шансом на одобрение. Топ-подборка позволит одолжить с минимальной околонулевой переплатой.

Руководители подразделений Северо-Кавказского филиала ФГУП «УВО Минтранса России» приобщились к историческому наследию донского казачества, Северо-Кавказский филиал ФГУП "УВО Минтранса России", 20:19, 28.03.2026, Россия227

В Ростове-на-Дону в рамках учебно-методических сборов начальники подразделений Северо-Кавказского филиала ведомственной охраны Минтранса России посетили единственный в России центр «Донская Казачья Гвардия». При поддержке профсоюза для них провели экскурсию по уникальной экспозиции, посвященной гвардейским казачьим полкам, которые на протяжении полутора веков охраняли российских императоров.

Рацпредложение сократило время сервисного обслуживания локомотивов, ООО ЛокоТех-Сервис, 20:18, 28.03.2026, Россия259
Рацпредложение сократило время сервисного обслуживания локомотивов

3Logic Group и «Софтлайн» реализовали поставку серверного решения для «Инсека», 3Logic Group, 20:18, 28.03.2026, Россия235

3Logic Group, российский дистрибьютор ИТ-оборудования, совместно с «Софтлайн», поставщиком ИТ-решений и услуг, поставили серверное оборудование для компании «Инсека», специализирующейся на обучении и практической подготовке специалистов по кибербезопасности.

Служба каталога ALD Pro 3.0 сертифицирована по 2 уровню доверия ФСТЭК России, "Группа Астра", 20:12, 28.03.2026, Россия235

«Группа Астра» сообщает о завершении процедуры сертификации очередного обновления 3.0.0с программного комплекса «ALD Pro» (сертификат ФСТЭК России № 4830 от 26 июля 2024 г., переоформлен 9 декабря 2024 г.).

«Энергосбыт Волга» назвала управляющие компании с самыми большими долгами за электричество, ООО "Энергосбыт Волга", 20:07, 28.03.2026, Россия232

Гарантирующий поставщик электроэнергии во Владимирской области «Энергосбыт Волга» опубликовал список крупных должников среди управляющих компаний.

Компания «Новые платформы» подвела итоги 2025 года, Новые платформы, 20:06, 28.03.2026, Россия234

Российский разработчик и производитель радиоэлектронной продукции «Новые платформы» подвел итоги 2025 года. За истекший период компания увеличила штат на 10%. Важно, что в финансовой структуре «Новых платформ» отсутствуют кредиты – компания развивается за счет собственных средств.

Наружная реклама нового тарифа МТС на всесезонном курорте «Волчиха»., Рекламное Агентство IQ, 20:04, 28.03.2026, Россия264
Зимой 2025-2026 года агентство IQ разместило наружную рекламу нового тарифа МТС на всесезонном курорте Волчиха в Свердловской области.

VolgaBlob выходит на рынок Узбекистана, VolgaBlob, 20:04, 28.03.2026, Россия240
Российский разработчик и интегратор VolgaBlob с более чем 20-летним опытом на рынке кибербезопасности объявляет о запуске своей флагманской платформы Smart Monitor на рынке Узбекистана.

Hybrid Metaverse запустил крупнейшую в России рекламную сеть в Minecraft, Hybrid, 20:04, 28.03.2026, Россия237
После блокировки Roblox в России в декабре 2025 года компания Hybrid Metaverse, входящая в AdTech-экосистему Hybrid, перестроила рекламную инфраструктуру и объявила о запуске крупнейшей рекламной сети в Minecraft.

Minervasoft обновила совместный редактор в системе управления знаниями Minerva Knowledge, Minervasoft, 20:03, 28.03.2026, Россия81

Компания Minervasoft расширила функциональность совместного редактирования в базе знаний с ИИ-ассистентом Minerva Knowledge. Новая версия редактора обеспечивает одновременную работу множества пользователей в режиме реального времени, что минимизирует риск возникновения конфликта версий и повышает прозрачность изменений.

Компания ГЕРОФАРМ автоматизирует HR-процессы с помощью Neon HRM, Nexign, 20:02, 28.03.2026, Россия75

Система поможет автоматизировать работу с целеполаганием, обучением, развитием, карьерой и вовлеченностью сотрудников, создать единое инфополе с помощью корпоративного портала, а также позволит HR получать аналитику по основным процессам управления персоналом.