Avustralyalı yazılım şirketi Atlassian, Bitbucket Server, Data Center ve Crowd ürünlerini etkileyen iki kritik açığı gidermek için güvenlik güncellemeleri yayınladı.
Takip edilen sorunlar CVE-2022-43781 ve CVE-2022-43782her ikisi de CVSS güvenlik açığı puanlama sisteminde 10 üzerinden 9 olarak derecelendirilmiştir.
Atlassian’ın Bitbucket Sunucusu ve Veri Merkezi’nin 7.0.0 sürümünde tanıtıldığını söylediği CVE-2022-43781, 7.0 – 7.21 ve 8.0 – 8.4 sürümlerini etkiler (yalnızca bitbucket.properties’te mesh.enabled false olarak ayarlanmışsa).
Zayıflık, izin sahibi bir saldırganın etkilenen sistemde kod yürütme elde etmek için kullanıcı adlarını kontrol etmesine izin verebilecek, yazılımdaki ortam değişkenlerini kullanan bir komut enjeksiyonu durumu olarak tanımlandı.
Geçici bir çözüm olarak şirket, kullanıcılara “Genel Kayıt” seçeneğini (Yönetim > Kimlik Doğrulama) kapatmalarını öneriyor.
Bir danışma belgesinde, “Genel kaydı devre dışı bırakmak, saldırı vektörünü kimliği doğrulanmamış bir saldırıdan kimliği doğrulanmış bir saldırıya değiştirir ve bu da istismar riskini azaltır” dedi. “ADMIN veya SYS_ADMIN kimliği doğrulanmış kullanıcılar, genel kayıt devre dışı bırakıldığında güvenlik açığından yararlanma olanağına sahip olmaya devam eder.”
İkinci güvenlik açığı olan CVE-2022-43782, Crowd Server ve Data Center’da bir saldırganın ayrıcalıklı API uç noktalarını çağırmasına izin verebilecek bir yanlış yapılandırmayla ilgilidir, ancak yalnızca kötü aktörün Uzak Adres yapılandırmasına eklenen bir IP adresinden bağlandığı senaryolarda .
Crowd 3.0.0’da tanıtılan ve dahili bir güvenlik incelemesi sırasında tanımlanan eksiklik, tüm yeni kurulumları etkiler, yani Crowd 3.0.0’dan önceki bir sürümden yükseltme yapan kullanıcılar savunmasız değildir.
Atlassian ve Bitbucket’teki kusurların vahşi ortamda aktif olarak istismara maruz kalması alışılmadık bir durum değil, bu da kullanıcıların yamaları uygulamak için hızlı hareket etmesini zorunlu kılıyor.
Geçen ay ABD Siber Güvenlik ve Altyapı Güvenliği Dairesi (CISA), Eylül 2022’nin sonlarından bu yana saldırılarda Bitbucket Sunucusu ve Veri Merkezi’ndeki (CVE-2022-36804, CVSS puanı: 9.9) bir komut enjeksiyon kusurunun silah haline getirildiği konusunda uyarıda bulundu.