博客
Jira安全漏洞CVE-2019-11581
抽象形状抽象形状
加入27,000多个网络安全通讯订阅者

2019年7月10日,Atlassian 发布了安全公告 严重的 脆弱性 在大多数版本的Jira Server和Jira Data Center中。该漏洞于2011年发布的版本4.4.0中引入,并影响到2019年6月13日发布的最新版本8.2.2。

好消息是,Jira Cloud的用户不受影响。但是,有多少组织正在运行Jira Server或Jira Data Center,并且容易受到这种攻击?

数以万计的潜在受影响的服务器

使用Shodan.io的数据,我们确定了大约50,000个Jira潜在实例。其中,我们的进一步研究证实,仅有超过30,000个具有版本号的Jira实例可以访问。在这些版本中,只有63个版本具有 CVE -2019-11581.

因此,从发布此公告之日起,绝大多数可通过Internet访问的Jira Server实例都具有易受攻击的版本。最好显示比较已补丁和未补丁版本的图表,但是安全实例很少,因此肉眼看不到。取而代之的是,这是我们调查的人群中十个最常见的Jira Server版本的图表,这些都不在固定的Jira Server版本列表中。

十个最常见的Jira Server版本。这些均未针对CVE-2019-11581进行修补
十个最常见的Jira Server版本。这些均未针对CVE-2019-11581进行修补

通报发布后不久,我们就导出了这些数据。从那时起,管理员就继续采取措施来修复其漏洞,并且每天应该减少易受攻击的实例的数量。但是,对该风险的普遍性进行的初步评估显示,成千上万的实例可能具有潜在的脆弱性,而且修补工作还远未普及。

因为该漏洞利用了"联系管理员表格"对于模板注入,Atlassian还发布了有关禁用此表单的解决方法的指南。使用此替代方法,可以保护某些尚未升级的服务器。但是,在手动检查看似易受攻击的版本的站点时,自从我们最初收集数据以来,通常没有对它们进行修补,也没有实施补偿性控制的证据。自我们收集初始数据以来,唯一更改版本的网站是NASA。 NASA辛苦了!但是在大多数情况下,没有证据表明所有者已经升级到安全版本。

来自nasa.gov网站的Jira版本显示了最新的安全实例
来自nasa.gov网站的Jira版本显示了最新的安全实例

此外,用户可以禁用"联系管理员表格."同样,在手动检查随机站点时,仅看到一个已被通知禁用的通知。

企业JIRA临时禁用横幅
JIRA通知

具有易受攻击版本的服务器的地理分布类似于全球计算系统的分布。大多数服务器在美国,但是在134个不同的国家中发现了易受攻击的服务器。基本上,每个数字经济国家都可能拥有受此漏洞影响的Jira服务器。

Jira服务器的主机名可以提供有关受影响组织类型的见解。在具有漏洞版本的服务器中,有69个URL中包含.gov。这些服务器托管在16个不同的国家/地区,为许多政府职能带来了潜在的风险。

 

每个国家/地区具有.gov地址和未修补版本的Jira服务器数量
每个国家/地区具有.gov地址和未修补版本的Jira服务器数量

无论如今有许多易受攻击的服务器,明天的数量应该更少,之后的日子也应该更少。就是说,仍有许多潜在的易受攻击的Jira服务器,要防止由于该漏洞而导致的数据丢失,就需要知道您的组织是否具有易受攻击的实例以及您的供应商是否正在运行未打补丁的Jira服务器。

如果您与我们联系'd想检查您的Jira Server或Jira Data Center版本是否存在此漏洞。

自由

白色UpGuard徽标
可供下载的UpGuard免费资源
学到更多

下载我们的免费电子书和白皮书

关于网络安全和供应商风险管理的见解。
白色UpGuard徽标
电子书,报告& Whitepapers
可供下载的UpGuard免费资源
UpGuard客户支持团队UpGuard客户支持团队UpGuard客户支持团队

观看UpGuard的实际应用

与我们的一位网络安全专家预订免费的个性化入职电话。
抽象形状抽象形状

相关文章

了解有关网络安全的最新问题的更多信息。
 传送图标

注册我们的时事通讯

每周在收件箱中获取最新精选的网络安全新闻,漏洞,事件和更新。
抽象形状抽象形状
免费即时安全评分

您的组织有多安全?

索取免费的网络安全报告,以发现您的网站,电子邮件,网络和品牌上的主要风险。
  •  检查图标
    您可以立即采取行动的即时见解
  •  检查图标
    13个风险因素,包括电子邮件安全,SSL,DNS运行状况,开放端口和常见漏洞
网站安全扫描结果网站安全扫描等级抽象形状