Meldung

Gesprächiges Jira

Die Varonis Threat Labs warnen vor einer Fehlkonfiguration der Berechtigungen in Jira, die interne Unternehmensdaten offenlegen kann. Die Sicherheitsforscher fanden 812 Subdomains und 689 zugängliche Jira-Instanzen von Hunderten internationalen Unternehmen mit öffentlichen Dashboards, Projekten und über 75.000 Problemen, die E-Mail-Adressen, URLs und IP-Adressen enthielten.
Zudem stellten die Security-Forscher fest [1], dass die Jira-REST-API mehr Informationen offenlegt als die Weboberfläche. Administratoren könnten bei der Nutzung des Web-Interfaces so fälschlicherweise der Auffassung sein, dass keinerlei Daten exponiert sind, während diese tatsächlich über die API erreichbar sind. Unternehmen, die Jira verwenden, sollten dringend prüfen, ob sie nur Daten freigeben, die für die Öffentlichkeit bestimmt sind. Für die Entfernung des öffentlichen Zugangs hat Atlassian eine anschauliche Anleitung erstellt.

Auf den ersten Blick erscheinen URLs und E-Mail-Adressen harmlos. Allerdings können E-Mail-Adressen, die mit Jira-Problemen verknüpft sind, Aufschluss über die Kunden eines Unternehmens geben. Zudem enthüllen einige der gefundenen Jira-Problemeinträge Bugs, Produktfunktionen und Roadmap-Details, während identifizierte URLs zu sensiblen Systemen wie Build-Servern und GitHub-Repos führen. Angreifer können die in Jira-Dashboards gefundenen Informationen auf vielfältige Weise nutzen:

  • Aufklärung: Die Kenntnis des Projektnamens, der Eigentümer und der Avatare kann Angreifern helfen, eine gezielte Phishing-Kampagne zu erstellen.
  • Laterale Bewegung: Einige Jira-Dashboards enthalten sensible Informationen über andere Tools und Systeme, die das Unternehmen verwendet wie interne IP-Adressen, URLs oder Anmeldeinformationen. Kennen Angreifer die URLs von Systemen, die mit dem Internet verbunden sind, können sie einen Passwort-Spraying- oder Credential-Stuffing-Angriff starten oder bekannte Schwachstellen in diesen Systemen ausnutzen.
  • Exfiltration: In einigen gravierenden Fällen sind wertvolle Informationen sogar im Jira-Dashboard selbst gespeichert.
Datenklau per REST-API
Das Problem der Fehlkonfigurationen bei Jira-Berechtigungen wurde bereits identifiziert, gleichwohl erscheint es aus zweierlei Gründen sinnvoll, sich mit dieser Problematik (erneut) auseinanderzusetzen: Zum einen muss angesichts der erschreckenden Scan-Ergebnisse das Bewusstsein der Jira-Administratoren geschärft werden, die möglicherweise immer noch über falsch konfigurierte Instanzen verfügen, die sensible Daten der Öffentlichkeit preisgeben.

Zum anderen können über das REST-API von Jira mehr exponierte Daten aufgedeckt werden als bisher über die Web-Schnittstelle. So ist es Angreifern möglich, mithilfe der REST-API ein einfaches Skript zu schreiben, um das Jira-Konto eines Unternehmens zu scannen und schnell sensible Daten zu extrahieren.

"Die neuesten Erkenntnisse unserer Threat Labs zeigen, dass es eine Herausforderung sein kann, Identitäten, Nutzerverhalten und Berechtigungen für jede einzelne SaaS- und IaaS-Cloud-Anwendung und jeden Service zu sichern", erklärt Michael Scheffler, Country Manager DACH von Varonis.

"Unser kürzlich veröffentlichter 2021 SaaS Risk Report zeigt die wichtigsten Trends und Herausforderungen für Unternehmen bei der Kontrolle von Identitäten und der Identifizierung von Schattenprivilegien, welche die Daten in einer fragmentierten SaaS- und IaaS-Umgebung gefährden. Es ist höchste Zeit, dass Unternehmen beim Einsatz von SaaS-Lösungen das Modell der geteilten Verantwortung verstehen. SaaS-Anbieter schützen ausschließlich ihre Infrastruktur und die angebotenen Lösungen. Unternehmensdaten, die in diesen SaaS-Anwendungen gespeichert werden, bleiben in der Verantwortung des Unternehmens. Entsprechend kann man sich bei einem Verlust oder Missbrauch nicht auf den Anbieter berufen."
18.11.2021/dr

Tipps & Tools

Naturkatastrophen treffen auf Disaster Recovery [12.05.2022]

Der Klimawandel macht auch vor Deutschland keinen Halt. Ob Flut, Waldbrand oder Tornado – derartige Naturkatastrophen lassen sich immer öfter beobachten und können für Unternehmen schwerwiegende Folgen nach sich ziehen. Besonders wenn das eigene Rechenzentrum oder das des Cloudanbieters betroffen ist, droht Datenverlust. Wie Disaster-Recovery-Pläne und darauf abgestimmte Backupsysteme bei einem Ernstfall helfen können, erläutert unser Fachartikel. [mehr]

Exchange verabschiedet Basic-Auth-Anmeldung im Herbst [10.05.2022]

Microsoft schaltet zum 1. Oktober das Basic-Auth-Verfahren zur Anmeldung an Exchange-Online-Postfächern ab. Das Authenifizierungsverfahren gilt als äußerst unsicher, da eine Klartextübertragung der Anmeldedaten, die lediglich Base64-kodiert sind, stattfindet. Diese Maßnahme war überfällig, denn laut Microsoft ist Basic-Auth eine der am häufigsten genutzten Schwachstellen zur Kompromittierung der Nutzerdaten – wobei die Anzahl der Angriffe darauf noch laut Redmond noch immer ansteigt. [mehr]

Fachartikel

Pass-the-Hash-Angriffe vermeiden (3) [16.05.2022]

Mit einer erfolgreichen Pass-the-Hash-Attacke wird ein Angreifer leicht Administrator der Windows-Domäne. Doch weil es technisch sehr schwierig ist, Inhalte des Arbeitsspeichers zu verteidigen, gibt es für die seit mehr als zwei Jahrzehnten bekannte Sicherheitslücke keinen Patch, sondern nur Empfehlungen für eine bessere Organisation der IT. Denn der ursprünglich sehr aufwändige Pass-the-Hash-Angriff ist heutzutage nur noch eine Sache weniger Klicks. Im dritten und letzten Teil der Workshopserie geht es unter anderem darum, warum sie überflüssiges Clientgeschwätz abschalten und generell die Anzahl der Konten reduzieren sollten. [mehr]

Buchbesprechung

Datenschutz im Unternehmen

von Michael Wächter

Anzeigen