21 nov 2016

Una feature de #Jira que puede filtrar nuestros bugs y desarrollos

Buenas a todos, hace un par de semanas, mientras preparaba la charla que mañana impartiremos mi compañero Álvaro García y un servidor en las II Jornadas de Informática sobre Ciberseguridad de Palomatica, descubrí lo que parecía ser un bug de bypass de permisos en el apartado de ManageFilters de la aplicación Jira. Por resumir brevemente el avistamiento, con una sencilla query en Google como la que os muestro en la siguiente imagen, encontramos más de 500 páginas filtradas (de importantes empresas, entre ellas varias factorías de software), en las que podíamos acceder sin necesidad de autenticarnos a sus "tareas" pendientes registradas en Jira.




Este problema, expone miles de códigos fuentes de aplicaciones en desarrollo, fallos de seguridad, calidad, integración, etc. e incluso el listado de clientes, que se puede recopilar haciendo análisis de los códigos fuente publicados, y que los developers tienen asignados como tareas para corregir durante los proyectos.

Nada más descubrirlo, me puse en contacto con el equipo de Atlassian (fabricantes de Jira), para ver si de verdad era un bug, o es que simplemente todas estas empresas no tenían bien configurado el sistema de permisos de sus Jira. Tras analizar el caso (un 10 a Atlassian por su rapidez y amabilidad), me confirmaron que es una "feature" del software, ya que bajo configuración, permite el acceso con usuario anónimo, tal y como se explica en el siguiente enlace:


En resumen, desde Flu Project os aconsejamos que reviséis hoy al llegar a vuestras oficinas si vuestros permisos están bien configurados, y si se puede acceder de forma externa y libre, sin requerir autenticación, ni barreras de seguridad, a vuestras tareas pendientes... ;)

Saludos!

No hay comentarios:

Publicar un comentario