Наверх
Инфо-центр
Есть вопросы?
Закажите обратный звонок
или пришлите заявку!

Баг в Jira, раскрывающий секретные ключи серверов, все еще опасен

Именно так считают зарубежные эксперты. Ошибка, найденная в широко используемом программном обеспечении Atlassian, позволяет хакерам проникнуть в корпоративные 

Старые версии программного обеспечения Atlassian содержат уязвимый прокси-сервер, который можно использовать для проведения атак с межсайтовыми сценариями (XSS, скриптинг) и атак Server Side Request Forgery (SSRF позволяет совершать запросы с уязвимого сервера и возвращает конфиденциальные данные из внутренней сети).

Злоумышленник может использовать атаку SSRF, которая позволят отфильтровать метаданные Amazon Web Services (AWS), среди которых есть и секретные коды доступа. Приватные ключи в руках злоумышленника могут привести к захвату инстанса, что приведет к краже или уничтожению данных.

Национальный институт стандартов и технологий (NIST) присвоил этому багу 6.1 баллов из 10 по шкале опасности. Уязвимость была зафиксирована в марте 2017 года и получила идентификатор CVE-2017-9506. Вскоре компания Atlassian сообщила, что устранила эту проблему.

Несмотря на то, что продукты были обновлены, многие компании по-прежнему используют устаревшие версии программного обеспечения, которые часто размещаются на субдомене компании или легко доступны для поиска. Мы и сейчас наблюдаем десятки инстансов российских компаний, работающих на уязвимых версиях Jira и Confluence.

Согласно Atlassian, уязвимы следующие версии:

  • Bamboo < 6.0.0
  • Confluence < 6.1.3
  • Jira < 7.3.5
  • Bitbucket < 4.14.4
  • Crowd < 2.11.2
  • Crucible & Fisheye < 4.3.2

Если вы все еще используете проблемные версии продуктов Atlassian, рекомендуем как можно скорее обновить их. Вы можете сделать это самостоятельно или обратиться к специалистам компании «Аплана».

Источники: www.dontpanic.42.nl/2017/12/there-is-proxy-in-your-atlassian.htmlwww.zdnet.com/article/jira-bug-exposed-private-server-keys-at-major-companies-researcher-finds/

  • Юлмарт
  • МТС Банк
  • Сбербанк
  • Центральный банк Российской Федерации
  • Хоум Кредит энд Финанс Банк
  • Sanofi
  • Филип Морис Интернэшнл
  • Спутник
  • ВТБ 24
  • ДжиИ Мани Банк
  • Альфа-Банк
  • Эльдорадо
  • Procter&Gamble
  • Газпромбанк
  • Ренессанс Жизнь
  • Мегафон
  • Райффайзенбанк
  • ТрансКредитБанк
  • ОТП Банк
  • МТС
Система Orphus