Эксперты предупреждают, что два широко используемых инструмента Atlassian Bitbucket — Server и Data Center — содержат серьезную уязвимость, которая позволяет удаленным злоумышленникам с разрешениями на чтение общедоступного или частного репозитория Bitbucket выполнять произвольный код.
Агентство кибербезопасности и инфраструктуры США (CISA) отметило, что уязвимость активно используется в дикой природе, призывая компании, использующие инструменты, исправлять (откроется в новой вкладке) их конечные точки (откроется в новой вкладке) немедленно. Аналитики интернет-трафика GreyNoise подтвердили выводы CISA, заявив, что нашли доказательства использования уязвимости.
Уязвимость отслеживается как CVE-2022-36804 и присутствовала в версии 7.0.0 обоих инструментов вплоть до версии 8.3.0. Компаниям, которые не могут сразу применить патч, следует отключить общедоступные репозитории, чтобы свести к минимуму риск, говорится в сообщении Atlassian.
Летний ремонт
Компания подтвердила наличие уязвимости в конце августа 2022 года, но это не первый случай в этом году, когда Atlassian приходится исправлять серьезные программные недостатки.
Прошлым летом в нескольких популярных продуктах, включая Jira, Confluence и Bamboo, были обнаружены две уязвимости высокой степени серьезности, которые позволяли удаленно выполнять код и повышать привилегии.
Первая уязвимость отслеживается как CVE-2022-26136, произвольный обход фильтра сервлетов, позволяющий злоумышленникам обходить настраиваемые фильтры сервлетов, которые сторонние приложения используют для аутентификации. Все, что им нужно сделать, это отправить специальный вредоносный HTTP-запрос.
Вторая уязвимость отслеживается как CVE-2022-26137 и описывается как обход совместного использования ресурсов между источниками (CORS).
«Отправка специально созданного HTTP-запроса может вызвать фильтр сервлетов, используемый для ответа на запросы CORS, что приведет к обходу CORS», — сказал Атлассиан. «Злоумышленник, который может обманом заставить пользователя запросить вредоносный URL-адрес, может получить доступ к уязвимому приложению с разрешения».
Хотя эти два недостатка были обнаружены в нескольких продуктах Atlassian, был еще один, обнаруженный только в Confluence. Уязвимость CVE-2022-26138 на самом деле представляет собой жестко запрограммированный пароль, созданный для облегчения миграции в облако.
С тех пор недостатки были устранены.
С помощью: Регистр (откроется в новой вкладке)
