Meldung

Gesprächiges Jira

Die Varonis Threat Labs warnen vor einer Fehlkonfiguration der Berechtigungen in Jira, die interne Unternehmensdaten offenlegen kann. Die Sicherheitsforscher fanden 812 Subdomains und 689 zugängliche Jira-Instanzen von Hunderten internationalen Unternehmen mit öffentlichen Dashboards, Projekten und über 75.000 Problemen, die E-Mail-Adressen, URLs und IP-Adressen enthielten.
Zudem stellten die Security-Forscher fest [1], dass die Jira-REST-API mehr Informationen offenlegt als die Weboberfläche. Administratoren könnten bei der Nutzung des Web-Interfaces so fälschlicherweise der Auffassung sein, dass keinerlei Daten exponiert sind, während diese tatsächlich über die API erreichbar sind. Unternehmen, die Jira verwenden, sollten dringend prüfen, ob sie nur Daten freigeben, die für die Öffentlichkeit bestimmt sind. Für die Entfernung des öffentlichen Zugangs hat Atlassian eine anschauliche Anleitung erstellt.

Auf den ersten Blick erscheinen URLs und E-Mail-Adressen harmlos. Allerdings können E-Mail-Adressen, die mit Jira-Problemen verknüpft sind, Aufschluss über die Kunden eines Unternehmens geben. Zudem enthüllen einige der gefundenen Jira-Problemeinträge Bugs, Produktfunktionen und Roadmap-Details, während identifizierte URLs zu sensiblen Systemen wie Build-Servern und GitHub-Repos führen. Angreifer können die in Jira-Dashboards gefundenen Informationen auf vielfältige Weise nutzen:

  • Aufklärung: Die Kenntnis des Projektnamens, der Eigentümer und der Avatare kann Angreifern helfen, eine gezielte Phishing-Kampagne zu erstellen.
  • Laterale Bewegung: Einige Jira-Dashboards enthalten sensible Informationen über andere Tools und Systeme, die das Unternehmen verwendet wie interne IP-Adressen, URLs oder Anmeldeinformationen. Kennen Angreifer die URLs von Systemen, die mit dem Internet verbunden sind, können sie einen Passwort-Spraying- oder Credential-Stuffing-Angriff starten oder bekannte Schwachstellen in diesen Systemen ausnutzen.
  • Exfiltration: In einigen gravierenden Fällen sind wertvolle Informationen sogar im Jira-Dashboard selbst gespeichert.
Datenklau per REST-API
Das Problem der Fehlkonfigurationen bei Jira-Berechtigungen wurde bereits identifiziert, gleichwohl erscheint es aus zweierlei Gründen sinnvoll, sich mit dieser Problematik (erneut) auseinanderzusetzen: Zum einen muss angesichts der erschreckenden Scan-Ergebnisse das Bewusstsein der Jira-Administratoren geschärft werden, die möglicherweise immer noch über falsch konfigurierte Instanzen verfügen, die sensible Daten der Öffentlichkeit preisgeben.

Zum anderen können über das REST-API von Jira mehr exponierte Daten aufgedeckt werden als bisher über die Web-Schnittstelle. So ist es Angreifern möglich, mithilfe der REST-API ein einfaches Skript zu schreiben, um das Jira-Konto eines Unternehmens zu scannen und schnell sensible Daten zu extrahieren.

"Die neuesten Erkenntnisse unserer Threat Labs zeigen, dass es eine Herausforderung sein kann, Identitäten, Nutzerverhalten und Berechtigungen für jede einzelne SaaS- und IaaS-Cloud-Anwendung und jeden Service zu sichern", erklärt Michael Scheffler, Country Manager DACH von Varonis.

"Unser kürzlich veröffentlichter 2021 SaaS Risk Report zeigt die wichtigsten Trends und Herausforderungen für Unternehmen bei der Kontrolle von Identitäten und der Identifizierung von Schattenprivilegien, welche die Daten in einer fragmentierten SaaS- und IaaS-Umgebung gefährden. Es ist höchste Zeit, dass Unternehmen beim Einsatz von SaaS-Lösungen das Modell der geteilten Verantwortung verstehen. SaaS-Anbieter schützen ausschließlich ihre Infrastruktur und die angebotenen Lösungen. Unternehmensdaten, die in diesen SaaS-Anwendungen gespeichert werden, bleiben in der Verantwortung des Unternehmens. Entsprechend kann man sich bei einem Verlust oder Missbrauch nicht auf den Anbieter berufen."
18.11.2021/dr

Tipps & Tools

Markt für Access-as-a-Service-Cyberkriminalität floriert [7.12.2021]

Eine neu erschienene Studie hat sich auf die undurchsichtige Lieferkette der Cyberkriminalität fokussiert, die für die derzeitige Zunahme von Ransomware-Angriffen maßgeblich ist: Initial-Access-Broker, die gerade auch in Deutschland stark vertreten sind. Sie beschaffen den Zugang zur Unternehmens-IT und lassen sich das auch versilbern. [mehr]

TPM-Reglementierungen in Windows 11 [18.11.2021]

Das neue Windows 11 erklärt das Trusted Platform Module 2.0 zur Pflicht – ob aus guten Gründen, untersuchen wir in unserem Online-Artikel. In diesem Zusammenhang erläutern wir unter anderem auch, wie Administratoren herausfinden, ob ihre Systeme und Geräte über den notwendigen TPM-Chip verfügen. Außerdem schildern wir, welche Optionen es für TPM in virtuellen Maschinen gibt. [mehr]

Fachartikel

Der Faktor Mensch in der Cybersicherheit [8.12.2021]

Cybersicherheit ist nicht mehr länger nur ein Spezialthema, mit dem sich lediglich Experten befassen müssen. Alle Organisationen sind heute dazu gezwungen, sich diesem Bereich zu widmen. Denn Cyberkriminelle haben nur ein Ziel: schnell Geld zu beschaffen. Hierzu passen sie ihre Taktiken kontinuierlich an und nutzen jede sich ihnen bietende Gelegenheit. Der Beitrag wirft ein Schlaglicht auf die Taktiken der Angreifer und zeigt, wie die Pandemie diesen in die Hände gespielt hat. [mehr]

Buchbesprechung

Datenschutz im Unternehmen

von Michael Wächter

Anzeigen