Всем привет! На этой встрече Гончик Цымжитов рассказал, как COVID-19 повлиял на установку и конфигурацию продуктов Atlassian. Вот план выступления: 1 . Обзор изменений на уровне экосистемы Atlassian (security mail list, dashboards, etc) 2. Баг баунти программа в MarketPlace 3. Тенденции обновления инстансов в зоне ru (маленький график) 4. Рекомендации и обсуждении проблем безопасности Jira & Confluence

1. Безопасность. Будет лучше.
Как COVID помогает безопасности земных инсталляции Jirа, продуктов Atlassian
TSYMZHITOV GONCHIK | ATLASSIAN ENGINEER| FREELANCER
LEAD OF ST. PETERSBURG ATLASSIAN COMMUNITY
https://www.linkedin.com/in/gonchik

2. Как же бЫыстро
меняется мир

3. • Ошибки, которые могут у кого угодно
• Обзор изменении на уровне экосистемы Atlassian (security
mail lists, dashboards)
• Bug bounty и MarketPlace
• Рекомендации и обсуждении проблем безопасности Jira
&Confluence
• Тенденции обновлении Jira в наши дни COVID -19
ПЛАН

4. • Мнения, изложенные в этом тексте, могут не
совпадать с официальной позицией «вендоров».
• И описанные методы не являются инструкцией к
действию
DISCLAIMER
https://www.linkedin.com/in/gonchik

5. Полетели!
INTRODUCTION

6. Зачем это нужно?

7. Compliance

8. Что еще?
История с Yota (w0rm)
https://habr.com/ru/post/356996/ - 2016

10. https://jira.atlassian.com/bro
wse/JRASERVER-23255
One mis config Jira:
https://medium.com/@logicbomb_1/one-misconfig-
jira-to-leak-them-all-including-nasa-and-hundreds-of-
fortune-500-companies-a70957ef03c7

11. Как результат

14. Программные бреши
https://www.atlassian.com/blog/archives/oh_man_what_a_day_an_update_on_our_security_breach

15. CVE-2019-3398
Atlassian Confluence Download
Attachments Remote Code Execution

16. https://blogs.juniper.net/

17. https://blogs.juniper.net/

18. https://blogs.juniper.net/

19. https://blogs.juniper.net/

20. https://blogs.juniper.net/

21. https://blogs.juniper.net/

22. https://blogs.juniper.net/

23. https://blogs.juniper.net/

24. https://blogs.juniper.net/

25. https://blogs.juniper.net/

26. https://blogs.juniper.net/

27. https://blogs.juniper.net/

28. shorturl.at/wQVY6

29. У нас все зашифровано!!!

31. Не спасут даже хорошие алгоритмы
шифрования/хэширования
https://passlib.readthedocs.io/en/stable/lib/passlib.hash.atlassian_pbkdf2_sha1.html

32. https://passlib.readthedocs.io/en/stable/lib/passlib.hash.atlassian_pbkdf2_sha1.html

33. Как быть?
Хочу реактивно получить информацию

34. http://my.atlassian.com/email
Tech Alerts

35. https://www.atlassian.com/trust/security/bug-fix-policy
Severity Cloud Self-managed
Critical 14 90
High 28 90
Medium 42 90
Low 175 180
Security bug fix Service Level Objectives (SLO) in days

36. https://nvd.nist.gov/vuln-metrics/cvss
CVSS (Common Vulnerability Scoring System) - общая
система оценки уязвимостей является бесплатным и
открытым отраслевым стандартом для оценки
серьезности уязвимостей системы безопасности
компьютера.

37. https://habr.com/ru/company/pt/blog/266485/

38. Компьютерная группа реагирования на чрезвычайные ситуации (CERT) ->
Forum

39. https://jira.atlassian.com/secure/Dashboard.jspa
Severity Cloud Self-
managed
CVSS score
Critical 14 90 CVSS v2 score >= 8,
CVSS v3 score >= 9
High 28 90 CVSS v2 score >= 6,
CVSS v3 score >= 7
Medium 42 90 CVSS v2 score >= 3,
CVSS v3 score >= 4
Low 175 180 CVSS v2 score < 3,
CVSS v3 score < 4
Security bug fix Service Level Objectives (SLO) in days

40. https://www.atlassian.com/trust/security/advisories

41. Как нам еще Atlassian помогает?

42. https://www.youtube.com/watch?v=48Fa3-hjPMQ&list=PLUmRtEALhUxp4NN5UtU-lrM-
cus2EwtCD&index=2

43. https://hackerone.com/atlassian?type=team

46. Как лечиться?
Ведь многое просто делается

47. Google dorking your instance
Site:example.com inurl:/UserPickerBrowser.jspa -
intitle:Login -intitle:Log
Site:example.com
inurl:/ManageFilters.jspa?filterView=popular
AND ( intext:All users OR intext:Shared with the
public OR intext:Public )
Site:example.com
inurl:/ConfigurePortalPages!default.jspa?view=p
opular
site: jira.example.com

48. https://community.atlassian.com/
t.me/augspb
t.me/augmoscow

49. https://medium.com/@cvignesh28/how-i-
hacked-50-companies-in-6-hrs-3866b61cfdcc

51. Nginx hide version
curl --head https://jira.gonchik.ru
HTTP/1.1 200
Server: nginx 1.16.1
Date: Mon, 24 Aug 2020 16:53:22 GMT
Content-Type: text/html;charset=UTF-8
Connection: keep-alive

52. Nginx hide version
curl --head https://jira.gonchik.ru
HTTP/1.1 200
Server: nginx
Date: Mon, 24 Aug 2020 16:56:38 GMT
Content-Type: text/html;charset=UTF-8
Connection: keep-alive
Выставляем параметр в nginx:
server_tokens off;

53. httpd hide version
httpd:
ServerTokens Prod
ServerSignature Off

54. https://confluence.atlassian.com/d
oc/confluence-home-and-other-
important-directories-
590259707.html
Нужно ведь только J
• logs
• temp
• work
sudo chown -R jirauser:jiragroup /path/to/jirahome
sudo chown -R jirauser:jiragroup /path/to/jirainstall
https://confluence.atlassian.com/adminjiras
erver/important-directories-and-files-
938847744.html

56. UPM- oh, boy
Иногда страшно за Universal Plugin Manager

58. 3397 инсталляций в интернете
Установили SSO или какая-то защита 6%
Обновились до версий 8.5 - 19%
Used: https://github.com/atlassian-api/atlassian-python-api

59. Распределение
Data current at 23.08.2020

60. https://pypi.org/project/atlassian-python-api

61. Распределение
Data current at 23.08.2020

62. Распределение 8 версии
Data current at 23.08.2020

63. Благодарю за внимание!
Пишите @gon4ik
https://www.linkedin.com/in/gonchik