Пресс-релизы //

Varonis предупреждает о возможных рисках ошибочных конфигураций Jira

Компания Varonis, один из новаторов мирового рынка безопасности и аналитики данных, сообщает, что ошибки в организации доступа к Jira могут привести к компрометации данных сотрудников и проектов сотен компаний, в том числе, входящих в список Fortune 1000. Вероятность такого риска была выявлена экспертами Varonis, проанализировавших 812 поддоменов корпоративных сайтов. Поддомены открывают доступ к средам Jira, через которые доступны 3774 информационные панели, 244 проекта и 75629 записи, содержащие адреса электронной почты, URL- и IP-адреса.

В ходе исследования было обнаружено, что API Jira REST предоставляет доступ к гораздо большему объему данных, нежели веб-интерфейс. Эта особенность API не является уязвимостью и проявляется только в случае неверного конфигурирования прав доступа. Тем не менее, администраторы Jira могут быть введены в заблуждение и неумышленно открыть доступ к конфиденциальным данным.

Так, во время мониторинга систем одной из логистических компаний была обнаружена в открытом доступе панель управления Jira, которая содержала общедоступные URL-адреса конфиденциальных систем компании. В другом случае (речь идет об одной из финансовых организаций) эксперты Varonis обнаружили, что в открытом доступе из-за ошибки с правами доступа оказались адреса электронной почты сотрудников банка. И в том, и в другом случае информация могла использоваться злоумышленниками для проведения фишинговых атак или попыток взлома корпоративных систем.

Jira – популярный сервис компании Atlassian, который используется для организации команд разработчиков ПО. Один из его элементов – информационные панели, используемые менеджментом рабочих групп. Права доступа к информационным панелям могут настраиваться администраторами систем. Из-за неточных формулировок, использовавшихся ранее в интерфейсе управления доступом, администраторы Jira могли по ошибке предоставлять доступ к информационным панелям Jira всем желающим. Несколько лет назад Atlassian исправила эту уязвимость, однако глобальное отключение открытого доступа не приводит к автоматическому удалению общедоступных разрешений с объектов Jira – необходимо перенастроить параметры общего доступа на каждой панели управления. Исследовательская группа Varonis обнаружила, что можно извлечь больше открытых данных, используя REST API Jira. При помощи REST API злоумышленник может написать простой скрипт для сканирования учетной записи Jira компании и быстрого извлечения конфиденциальных данных.

Не устраненные ошибки могут использоваться киберпреступниками для получения как общей информации (название проекта, состав его участников), так и детальной информации, – URL-адресов информационных систем компании, адресов электронной почты ее сотрудников, включая адреса администраторов систем. Все эти данные могут использоваться для проведения атак на инфраструктуру: рассылки фишинговых писем, взлома систем при помощи перебора паролей или известных уязвимостей.

«Стоит напомнить, что ошибки, связанные с организацией доступа к информационным системам компаний признаны наиболее существенным риском сообществом обеспечения безопасности веб-приложений OWASP Foundation. Причина столь серьезной оценки этой категории рисков – использование компаниями огромного числа SaaS-приложений, многие из которых интегрируются друг с другом и могут быть скомпрометированы из-за ошибочной конфигурации сторонних сервисов», – отмечает Даниэль Гутман, глава Varonis в России.

Эксперты Varonis считают, что из-за ошибки с правами доступа к панелям Jira могли быть скомпрометированы 3 тысячи адресов электронной почты, 5500 IPv4- и более 60000 URL-адресов корпоративных информационных систем.

Varonis рекомендует всем организациям, использующим Jira как в облачной, так и в on-premise инфраструктурах, провести аудит политик доступа к своим системам. Для этого можно использовать специальный сервис компании Atlassian, который описывает все необходимые для устранения ошибок меры. Кроме того, администраторы могут провести проверку прав доступа в настройках Jira (Settings-System-Global Permissions).

О компании Varonis (https://www.varonis.com/ru/)
Varonis Systems – разработчик программных решений для защиты от комплексных кибератак, основанных на поведенческом анализе пользователей и защите данных компании. Компания была основана в 2005 году, став пионером в области управления и контроля неструктурированных данных. По разным источникам, Varonis занимает более 70% мирового рынка в этой области. Среди разработок Varonis решение по аудиту периметра сети и поведенческому анализу, которое помогает заказчикам вовремя выявлять продвинутые кибератаки и защищаться от них. Сегодня у компании более 7000 заказчиков во всем мире.

Контактное лицо: Татьяна Алексеева
Компания: Varonis
Добавлен: 18:03, 03.12.2021 Количество просмотров: 687
Страна: Россия

СИБИНТЕК завершил профильные работы на Газораспределительной станции №2 в Комсомольске-на-Амуре, ООО ИК "СИБИНТЕК", 05:32, 02.01.2025, Россия336

В рамках выполнения поручения Президента Российской Федерации и в соответствии с Федеральной программой развития Дальневосточных городов, филиал «Макрорегион Дальний Восток» ООО ИК «СИБИНТЕК» завершил профильные работы на Газораспределительной станции №2 (ГРС-2) в Комсомольске-на-Амуре.

Fork-Tech вступил в ассоциацию «РУССОФТ», Fork-Tech, 02:18, 29.12.2024, Россия473
Финтех разработчик и интегратор Fork-Tech присоединился к Некоммерческому партнерству разработчиков программного обеспечения «РУССОФТ». О вхождении компании в ассоциацию было официально объявлено 25 декабря 2024 года.

Более половины опрошенных россиян перестали верить классическим «разводам» мошенников, Выберу.ру, 02:17, 29.12.2024, Россия59

По данным Банка России, с июля по сентябрь этого года банкам удалось отразить 16,1 млн атак кибермошенников на счета россиян и предотвратить кражу 4,9 трлн рублей. Аналитики финансового маркетплейса «Выберу.ру» опросили 3000 россиян в возрасте от 21 до 60 лет, чтобы узнать, как за год изменилось их восприятие кибермошенников.

По ставкам на новый год. «Выберу.ру» подготовил рейтинг лучших сезонных вкладов в декабре 2024 года, Финансовый маркетплейс «Выберу.ру», 02:05, 29.12.2024, Россия116
«Выберу.ру» составил рейтинг сезонных рублёвых вкладов. Мы рассчитали 20 наиболее доходных для вкладчиков предложений.

SIMETRA оснастила компанию «ВТМ дорпроект» российской цифровой платформой RITM³, Simetra, 01:58, 29.12.2024, Россия90

ГК SIMETRA поставила для московской компании «ВТМ дорпроект» цифровую платформу RITM³. Поставка включает в себя три модуля цифровой платформы – «ГИС» («Геоинформационная система сбора, хранения, анализа и графической визуализации данных»), «Цифровой двойник» и «Транспортное прогнозирование и моделирование».

«Рейтинг Рунета»: количество digital-подрядчиков в России уменьшится в ближайшие два года, Рейтинг Рунета, 01:58, 29.12.2024, Россия56
По данным «Рейтинга Рунета», к концу 2024 года в России насчитывается чуть больше 3,5 тысяч компаний, оказывающих digital-услуги, и количество таких компаний в ближайшие два года будет уменьшаться.

Завершены работы по сопровождению информационной системы генерирующей компании, Акционерное общество "Национальное бюро информатизации", 01:57, 29.12.2024, Россия450

Специалисты АО «НБИ» выполнили работы по сопровождению информационной системы оптимизации работы на ОРЭМ для одной из крупнейших генерирующих компаний с целью обеспечения работоспособности и производительности в соответствии с заданными показателями качества и поддержки пользователей.

Разработчик системы HRlink вырос в 1,5 раза до 950 млн рублей, HRlink, 17:49, 28.12.2024, Россия185
По итогам 2024 года выручка HRlink выросла в 1,5 раза в сравнении с прошлогодним показателем — до 950 млн рублей.

DатаРу увеличила объем выручки в два раза и стала группой компаний, ДатаРу, 17:47, 28.12.2024, Россия114

В ГК DатаРу подвели итоги работы за 2024 год. В недавно преобразованной группе компаний ожидают двукратного роста выручки за счет масштабирования бизнеса, а также расширения продуктового портфеля как собственными разработками, так и партнерскими ИТ-решениями.

В МФЦ Липецкой области запущено обслуживание граждан по биометрии, БФТ-Холдинг, 17:09, 28.12.2024, Россия133

На основе решения БФТ-Холдинга «МФЦ-Капелла» в Липецкой области внедрена инновационная технология обслуживания граждан в МФЦ с использованием биометрии. Новый сервис позволяет получать госуслуги без предъявления паспорта.

«Гармония МDМ» — в «Круге Громова» по НСИ, Гармония MDM, 17:09, 28.12.2024, Россия119

Система управления нормативно-справочной информацией (НСИ) «Гармония MDM» вошла в первый «MDM Круг Громова». Это подтверждает лидирующие позиции компании на рынке MDM в России. По мнению экспертов, повышенный интерес к сегменту управления НСИ объясняется существенным ростом рынка — не менее чем на 25-30% за последний год.

«Октава ДМ» выводит на рынок первую российскую беспроводную петличную микрофонную систему ЖУК, ООО "Октава Дизайн и Маркетинг", 17:08, 28.12.2024, Россия119

На рынке появилась первая российская радиопетличка ЖУК

PROF-IT GROUP готов предложить своим заказчикам Alpha BI, PROF-IT GROUP, 17:05, 28.12.2024, Россия116

Компания PROF-IT GROUP, российский цифровой промышленный интегратор, и холдинг «БАРС Груп» заявили о партнерстве по внедрению решений для автоматизации бизнес-процессов.

Киберэксперт Полунин предупреждает: хакеры могут получить полный контроль над системой, ООО "Газинформсервис", 17:05, 28.12.2024, Россия120

Обнаружена критическая уязвимость в широко используемой библиотеке libxml2, которая обрабатывает XML-данные в миллионах приложений и систем. Руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис» Сергей Полунин рекомендует использовать специализированные средства анализа безопасности и поведенческого анализа, такие как Ankey ASAP, чтобы выявить потенциальные уязвимости и аномалии в работе систем.

Т1 Технологии представила цифровое рабочее пространство для сотрудников российских компаний, ИТ-холдинг Т1, 17:05, 28.12.2024, Россия125

Компания-разработчик программного обеспечения (ПО) Т1 Технологии представила «Цифровое рабочее место» — десктопное и мобильное приложение для ежедневного выполнения корпоративных задач.