我是如何从公网JIRA获得NASA数据的

iso60001  2170天前

22.png

嗨,大家好,

在这文章中,我将讲述我在NASA的Jira(一个Atlassian任务管理软件)中发现的一个有趣的漏洞,更具体地说,是一个错误配置缺陷。它最终导致了NASA内部的敏感信息泄漏,包括NASA内部的用户详细信息、项目详细信息、员工姓名、员工的邮箱和ID等。现在,让我们开始吧。

任何公司最关心的问题中肯定有内部信息保密,公司组织内不同个人所能访问的数据种类是不同的。换句话说,公司数据的安全性、完整性和可用性深深影响着公司在未来的发展。

在Jira系统中有几个关键设置,如果存在配置错误,就有可能会造成隐私信息泄露,使黑客从公网就能访问到这些数据。而更一步的话,还有可能使黑客控制整个Jira。

在Jira中,当创建过滤器或显示面板时,它会提供一些选项来供用户设置。而当这些选项设置出现问题时,例如,当你把过滤器或显示面板都设置为对“所有用户”和“所有人”可见时,那么它就不仅会被公司内部的所有人看到,而且还会对外公开。在Jira中还有一个用户选择功能,它里面有每个用户的用户名和电子邮件地址的完整列表。而此类用户信息的泄露正是Jira全局权限设置中权限配置错误所导致的。

总之,由于授权配置错误,以下敏感信息容易被泄露:

  • 所有帐户的真实员工姓名和电子邮件;

  • 员工在Jira系统中的角色;

  • 当前项目中显示面板/过滤器的敏感信息。

NASA的详细用户信息

我发现美国航天局使用的Jira系统存在有一个错误配置,任何用户都可以访问“用户选择”功能(如上所述),看到每个美国航天局中用户名和电子邮件地址的完整列表。

33.png

从以上截图中的第一行可以看到,总共有1000个NASA内部用户的详细信息可以被未授权访问者看到。

过滤器泄露用户信息

虽然没有上面的问题严重,但它也还是会影响部分用户信息。NASA的Jira系统中的过滤器同样存在配置错误,你可以看到系统应用中的最常用的任务分类过滤器。它还列出了每个过滤器创建者的用户名。以上这些用户信息可能不够完整,但攻击者还是可以从中提取用户的取名格式。此外,它还可以让攻击者了解到系统中项目和用户和团队的对应关系。

44.png55.png66.png77.png

以上就是我利用Jira配置错误所能做到的,包括他们的内部用户详细信息、项目详细信息、员工姓名、员工邮件ID等我都能访问到。

报告细节

2018年9月3日-向NASA安全团队和CERT US团队报告漏洞。

2018年9月25日-漏洞已修复。

2018年10月17日-获得安全团队感谢。

本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://medium.com/@logicbomb_1/bugbounty-nasa-internal-user-and-project-details-are-out-2f2e3580421b

最新评论

昵称
邮箱
提交评论