Warnung vor Jira-Fehlkonfiguration

Alarm

Die Varonis Threat Labs warnen vor einer Fehlkonfiguration der Berechtigungen in Jira, die interne Unternehmensdaten offenlegen kann. Die Sicherheitsforscher fanden 812 Subdomains und 689 zugängliche Jira-Instanzen von Hunderten internationalen Unternehmen mit öffentlichen Dashboards, Projekten und über 75.000 Problemen, die E-Mail-Adressen, URLs und IP-Adressen enthielten. Zudem stellten sie fest, dass die Jira REST API mehr Informationen offenlegt als die Weboberfläche. Administratoren könnten bei der Nutzung des Web-Interfaces so fälschlicherweise der Auffassung sein, dass keinerlei Daten exponiert sind, während diese tatsächlich über die API erreichbar sind. Unternehmen, die Jira verwenden, sollten dringend prüfen, ob sie nur Daten freigeben, die für die Öffentlichkeit bestimmt sind. Für die Entfernung des öffentlichen Zugangs hat Atlassian eine anschauliche Anleitung erstellt.

Nur auf den ersten Blick erscheinen URLs und E-Mail-Adressen harmlos: E-Mail-Adressen, die mit Jira-Problemen verknüpft sind, können nämlich Aufschluss über die Kunden eines Unternehmens geben. Zudem enthüllen einige der gefundenen Jira-Problemeinträge Bugs, Produktfunktionen und Roadmap-Details, während identifizierte URLs zu sensiblen Systemen wie Build-Servern und GitHub-Repos führen.

Angreifer können die in Jira-Dashboards gefundenen Informationen auf vielfältige Weise nutzen:

  • Aufklärung: Die Kenntnis des Projektnamens, der Eigentümer und der Avatare kann Angreifern helfen, eine gezielte Phishing-Kampagne zu erstellen.
  • Laterale Bewegung: Einige Jira-Dashboards enthalten sensible Informationen über andere Tools und Systeme, die das Unternehmen verwendet wie interne IP-Adressen, URLs oder Anmeldeinformationen. Kennen Angreifer die URLs von Systemen, die mit dem Internet verbunden sind, können sie einen Passwort-Spraying- oder Credential-Stuffing-Angriff starten oder bekannte Schwachstellen in diesen Systemen ausnutzen.
  • Exfiltration: In einigen gravierenden Fällen sind wertvolle Informationen sogar im Jira-Dashboard selbst gespeichert.

 

Das Problem der Fehlkonfigurationen bei Jira-Berechtigungen wurde bereits identifiziert, gleichwohl erscheint es aus zweierlei Gründen sinnvoll, sich mit dieser Problematik (erneut) auseinanderzusetzen: Zum einen muss angesichts der erschreckenden Scan-Ergebnisse das Bewusstsein der Jira-Administratoren geschärft werden, die möglicherweise immer noch über falsch konfigurierte Instanzen verfügen, die sensible Daten der Öffentlichkeit preisgeben. Zum anderen können über das REST-API von Jira mehr exponierte Daten aufgedeckt werden als bisher über die Web-Schnittstelle. So ist es Angreifern möglich, mithilfe der REST-API ein einfaches Skript zu schreiben, um das Jira-Konto eines Unternehmens zu scannen und schnell sensible Daten zu extrahieren.

Es ist höchste Zeit, dass Unternehmen beim Einsatz von SaaS-Lösungen das Modell der geteilten Verantwortung verstehen.

„Die neuesten Erkenntnisse unserer Threat Labs zeigen, dass es eine Herausforderung sein kann, Identitäten, Nutzerverhalten und Berechtigungen für jede einzelne SaaS- und IaaS-Cloud-Anwendung und jeden Service zu sichern“, erklärt Michael Scheffler, Country Manager DACH von Varonis. „Unser kürzlich veröffentlichter 2021 SaaS Risk Report zeigt die wichtigsten Trends und Herausforderungen für Unternehmen bei der Kontrolle von Identitäten und der Identifizierung von Schattenprivilegien, welche die Daten in einer fragmentierten SaaS- und IaaS-Umgebung gefährden. Es ist höchste Zeit, dass Unternehmen beim Einsatz von SaaS-Lösungen das Modell der geteilten Verantwortung verstehen. SaaS-Anbieter schützen ausschließlich ihre Infrastruktur und die angebotenen Lösungen. Unternehmensdaten, die in diesen SaaS-Anwendungen gespeichert werden, bleiben in der Verantwortung des Unternehmens. Entsprechend kann man sich bei einem Verlust oder Missbrauch nicht auf den Anbieter berufen.“

 

Weitere detaillierte Informationen sowie Hinweise zu Abhilfemaßnahmen finden sich im entsprechenden Varonis Blog-Beitrag.