Två av Atlassians produkter: BitBucket och Data Center är infekterade med en bugg som skulle tillåta angripare att ta kontroll över enheten genom att injicera godtycklig kod på distans.
Även om säkerhetsforskaren som upptäckte detta fick en belöning, bestämde han sig för att snart dela med sig av proof-of-concept-utnyttjandet för denna bugg, som kan öka attackerna mot sårbara system. Därför har Atlassian gjort en patch tillgänglig och uppmanar användare att uppdatera.
Exekvering av godtycklig kod i Atlassian-produkter
Bit hink av Atlassian är ett Git-baserat kodvärd- och samarbetsverktyg som främst används av företag. Under tiden han Datacenter är ett mycket skalbart distributionsalternativ för alla dina Atlassian-projekt.
Båda produkterna har en kritisk RCE-säkerhetssårbarhet, spårad som CVE-2022-36804. Alla hackare som utnyttjar denna bugg kan på distans injicera sina skadliga kommandon i offrets maskiner.
Detta fick en allvarlighetsgrad på 9,9/10, med tanke på att buggen fanns i flera API-slutpunkter för mjukvaruprodukterna. Atlassian varnade allmänheten för dess konsekvenser och publicerade idag en säkerhetsrådgivning. Och han noterade som;
Alla Bitbuckets servrar och datacenter som körs på version 6.10.17 till 8.3.0 påverkas av detta, säger Atlassian.. Den släppte också en patch, och de säkra versionerna är nu 7.6.17, 7.17.10, 7.21.4, 8.0.3, 8.1.3, 8.2.2 och 8.3.1.
Tyvärr finns det ingen patch för äldre versioner som 6.x-grenen eftersom de inte stöds. Eftersom de inte har någon officiell fix, bad Atlassian kunder som kör dessa versioner att prova partiell begränsning genom att inaktivera offentliga arkiv med “feature.public.access=false”.
Även om det blockerar obehöriga användare från att komma åt dina projekt, kan hackare med komprometterade referenser för alla auktoriserade användare fortfarande komma in för att utföra attacker.
Dessutom påverkas inte personer som kommer åt din Bitbucket-server via bitbucket.org-domäner, eftersom de är värd för leverantören. Säkerhetsforskaren som hittade denna sårbarhet: max garrett – Atlassian tilldelade en $6 000 bugglön.
Däremot lovade man att släppa en proof-of-concept (POC) exploatering för buggen inom 30 dagar, vilket borde räcka för att kunderna ska kunna patcha sina system.
