Пресс-релизы //

Varonis предупреждает о возможных рисках ошибочных конфигураций Jira

Компания Varonis, один из новаторов мирового рынка безопасности и аналитики данных, сообщает, что ошибки в организации доступа к Jira могут привести к компрометации данных сотрудников и проектов сотен компаний, в том числе, входящих в список Fortune 1000. Вероятность такого риска была выявлена экспертами Varonis, проанализировавших 812 поддоменов корпоративных сайтов. Поддомены открывают доступ к средам Jira, через которые доступны 3774 информационные панели, 244 проекта и 75629 записи, содержащие адреса электронной почты, URL- и IP-адреса.

В ходе исследования было обнаружено, что API Jira REST предоставляет доступ к гораздо большему объему данных, нежели веб-интерфейс. Эта особенность API не является уязвимостью и проявляется только в случае неверного конфигурирования прав доступа. Тем не менее, администраторы Jira могут быть введены в заблуждение и неумышленно открыть доступ к конфиденциальным данным.

Так, во время мониторинга систем одной из логистических компаний была обнаружена в открытом доступе панель управления Jira, которая содержала общедоступные URL-адреса конфиденциальных систем компании. В другом случае (речь идет об одной из финансовых организаций) эксперты Varonis обнаружили, что в открытом доступе из-за ошибки с правами доступа оказались адреса электронной почты сотрудников банка. И в том, и в другом случае информация могла использоваться злоумышленниками для проведения фишинговых атак или попыток взлома корпоративных систем.

Jira – популярный сервис компании Atlassian, который используется для организации команд разработчиков ПО. Один из его элементов – информационные панели, используемые менеджментом рабочих групп. Права доступа к информационным панелям могут настраиваться администраторами систем. Из-за неточных формулировок, использовавшихся ранее в интерфейсе управления доступом, администраторы Jira могли по ошибке предоставлять доступ к информационным панелям Jira всем желающим. Несколько лет назад Atlassian исправила эту уязвимость, однако глобальное отключение открытого доступа не приводит к автоматическому удалению общедоступных разрешений с объектов Jira – необходимо перенастроить параметры общего доступа на каждой панели управления. Исследовательская группа Varonis обнаружила, что можно извлечь больше открытых данных, используя REST API Jira. При помощи REST API злоумышленник может написать простой скрипт для сканирования учетной записи Jira компании и быстрого извлечения конфиденциальных данных.

Не устраненные ошибки могут использоваться киберпреступниками для получения как общей информации (название проекта, состав его участников), так и детальной информации, – URL-адресов информационных систем компании, адресов электронной почты ее сотрудников, включая адреса администраторов систем. Все эти данные могут использоваться для проведения атак на инфраструктуру: рассылки фишинговых писем, взлома систем при помощи перебора паролей или известных уязвимостей.

«Стоит напомнить, что ошибки, связанные с организацией доступа к информационным системам компаний признаны наиболее существенным риском сообществом обеспечения безопасности веб-приложений OWASP Foundation. Причина столь серьезной оценки этой категории рисков – использование компаниями огромного числа SaaS-приложений, многие из которых интегрируются друг с другом и могут быть скомпрометированы из-за ошибочной конфигурации сторонних сервисов», – отмечает Даниэль Гутман, глава Varonis в России.

Эксперты Varonis считают, что из-за ошибки с правами доступа к панелям Jira могли быть скомпрометированы 3 тысячи адресов электронной почты, 5500 IPv4- и более 60000 URL-адресов корпоративных информационных систем.

Varonis рекомендует всем организациям, использующим Jira как в облачной, так и в on-premise инфраструктурах, провести аудит политик доступа к своим системам. Для этого можно использовать специальный сервис компании Atlassian, который описывает все необходимые для устранения ошибок меры. Кроме того, администраторы могут провести проверку прав доступа в настройках Jira (Settings-System-Global Permissions).

О компании Varonis (https://www.varonis.com/ru/)
Varonis Systems – разработчик программных решений для защиты от комплексных кибератак, основанных на поведенческом анализе пользователей и защите данных компании. Компания была основана в 2005 году, став пионером в области управления и контроля неструктурированных данных. По разным источникам, Varonis занимает более 70% мирового рынка в этой области. Среди разработок Varonis решение по аудиту периметра сети и поведенческому анализу, которое помогает заказчикам вовремя выявлять продвинутые кибератаки и защищаться от них. Сегодня у компании более 7000 заказчиков во всем мире.

Контактное лицо: Татьяна Алексеева
Компания: Varonis
Добавлен: 18:03, 03.12.2021 Количество просмотров: 664
Страна: Россия

Подтверждена совместимость решений AlterOS и ключевых носителей СКЗИ «MS_KEY K» - «АНГАРА», ALMI Partner, 04:38, 26.04.2024, Россия145
ALMI Partner и ООО «НТЦ Альфа-Проект» подтвердили совместимость и корректность работы решений AlterOS со средствами криптографической защиты информации «MS_KEY K» - «АНГАРА».

ИТ-компания SIPUNI перешла на кадровый ЭДО с помощью сервиса HRlink, HRlink, 04:38, 26.04.2024, Россия146

Компания SIPUNI, специализирующаяся на корпоративной ИТ-телефонии для бизнеса, перевела на безбумажный документооборот HR-процессы с помощью платформы HRlink. Внедрение сервиса для кадрового ЭДО сделало процесс оформления документов более быстрым и простым, а также контролируемым.

BSS на «Мобильных финансах-2024»: цифровизация и ИИ ключевые драйверы развития банковской отрасли, BSS, 04:38, 26.04.2024, Россия150

Основные тренды развития электронных финансовых услуг в 2024 году и кейс цифровизации на примере проекта в Новикомбанке.

Виртуальный гид «Красный конь» использует сервис GigaChat для свободного диалога с посетителями выставки Россия на ВДНХ, Prof IT, SberDevices, 04:36, 26.04.2024, Россия151

Виртуальный гид Красный конь, работающий на стенде Ростовской области в рамках выставки Россия, получил возможность говорить уникальным голосом на любые темы в режиме свободного диалога. Это стало возможным благодаря использованию GigaChat API – программного интерфейса доступа к нейросетевой модели GigaChat и платформы речевых сервисов SaluteSpeech от SberDevices.

BIA Technologies показала, как ускорить складские операции до 35% с помощью цифрового двойника, BIA Technologies, 04:35, 26.04.2024, Россия149

Компания представила передовые решения в области имитационного моделирования на выставке Retail TECH 2024, которая проходила с 16 по 18 апреля 2024 года. С помощью демонстрационной модели распределительного центра посетители смогли увидеть, как оптимизировать работу склада и увеличить оборачиваемость товаров.

Оборудование производства АО «ИВК» на 26-й Международной выставке «Экспоэлектроника», ИВК, 04:35, 26.04.2024, Россия152

22 апреля 2024 г., Москва

Компания «Гарант» запустила обновленную программу повышения квалификации по интеллектуальной собственности, Компания "Гарант", 04:35, 26.04.2024, Россия150

Ближайший поток стартует уже 24 мая. Регистрируйтесь, количество мест ограниченно.

«НИИ «АСОНИКА» и АРПП «Отечественный софт» 15 лет, ООО "НИИ"АСОНИКА", 04:32, 26.04.2024, Россия158

Председатель правления АРПП «Отечественный софт» Наталья Касперская поздравила Шалумова А.С. с 15-летием со дня основания ООО «НИИ «АСОНИКА» и вручила Почётную грамоту.

5 июня пройдет Ventra Concept Day — концептуальное событие для топ-менеджеров в HR, HR-холдинг Ventra, 04:31, 26.04.2024, Россия76

HR-холдинг Ventra откроет лето атмосферным событием в центре Москвы для бизнес-лидеров в HR — Ventra Concept Day.

ЕДИНЫЙ ЦУПИС принял участие в платежной конференции Ассоциации банков России, ЕДИНЫЙ ЦУПИС (НКО "Мобильная карта"), 04:25, 26.04.2024, Россия57

Ассоциация банков России провела 17 апреля 2024 года XVII Международную конференцию «Платежная индустрия – стратегическое развитие и новые решения». В мероприятии приняли участие топ-менеджеры НКО «Мобильная карта» (работает под брендом «ЕДИНЫЙ ЦУПИС») – Председатель Правления Елена Шейкина и член Правления, Коммерческий директор Артем Сычев.

«1С-Рарус» перевел «Эссити» на импортонезависимый ландшафт без остановки производства, 1С-Рарус, 04:21, 26.04.2024, Россия43

«1С-Рарус» перевел на 1С:ERP торгово-производственную компанию «Эссити». За 9 месяцев в единую экосистему на платформе «1С:Предприятие» интегрированы основные бизнес-процессы предприятия. Выполнено более 1 500 доработок для кастомизации системы. На текущий момент идет финальная стадия опытно-промышленной эксплуатации, «1С‑Рарус» запустил для пользователей ООО «Эссити» выделенную линию консультаций.

Команда Аналитического центра кибербезопасности «Газинформсервиса» предложила новые решения для защиты от кибератак, Газинформсервис, 04:16, 26.04.2024, Россия46

18 апреля команда Аналитического центра кибербезопасности компании «Газинформсервис» приняла участие в мероприятие профессионального сообщества, посвященном развитию ML-систем – митап MLOps и ML-инженеров.

Бесплатный семинар по считыванию физической маркировки с ювелирных изделий, ООО "Компания Инфорсер", 04:19, 26.04.2024, Россия52

26 апреля в 11.30 на встрече в Москве эксперты ГК Инфорсер расскажут про сложности при организации процесса считывания физической маркировки с ювелирных изделий, а также поделятся своими планами и прогнозами в этой сфере.

В LegalTech-сервисе Гарант ЧекДок появились новые функции и возможности, Компания "Гарант", 04:18, 26.04.2024, Россия51

В сервисе произошли масштабные изменения – ЧекДок стал еще умнее, функциональнее и удобнее.

В Адыгее учреждения образования продолжают оснащать новой мебелью, Адыгейское УФАС России, 04:18, 26.04.2024, Россия45

В Адыгею поступит новая школьная мебель