Två av Atlassian-produkterna – BitBucket och Data Center är infekterade med en bugg som skulle låta angripare ta över enheten genom att injicera godtycklig kod på distans.
Även om säkerhetsforskaren som upptäckte detta tilldelades en prispeng, har han bestämt sig för att snart dela Proof of Concept-utnyttjandet av denna bugg, vilket kan öka attackerna mot sårbara system. Således har Atlassian gjort en patch tillgänglig och uppmanar användare att uppdatera.
Godtycklig kodexekvering i Atlassian-produkter
Bitbucket från Atlassian är ett Git-baserat kodvärd- och samarbetsverktyg som främst används av företag. Medan den Datacenter är ett distributionsalternativ för alla dina Atlassian-projekt med hög skalningsförmåga.
Båda dessa produkter har visat sig ha en kritisk RCE-säkerhetssårbarhet, spårad som CVE-2022-36804. Alla hackare som utnyttjar denna bugg kan effektivt injicera sina skadliga kommandon i offrets maskiner på distans.
Detta gavs en allvarlighetsgrad på 9,9/10med tanke på att buggen fanns i flera API-slutpunkter för mjukvaruprodukterna. Atlassian varnade allmänheten för dess konsekvenser och släppte en säkerhetsrådgivning i dag. Och det noterade som;
Alla Bitbucket-server och datacenter som körs på version 6.10.17 till 8.3.0 påverkas av detta, säger Atlassian. Den släppte också en patch, där de säkrade versionerna nu är 7.6.17, 7.17.10, 7.21.4, 8.0.3, 8.1.3, 8.2.2 och 8.3.1.
Tyvärr finns det ingen patch för de äldre versionerna, som 6.x-grenen, eftersom de inte stöds. Eftersom de inte har någon officiell fix, bad Atlassian kunder som kör på dessa versioner att prova den partiella begränsningen genom att stänga av offentliga arkiv med “feature.public.access=false”.
Även om det blockerar obehöriga användare från att komma åt dina projekt, kan hackare med komprometterade referenser från alla auktoriserade användare fortfarande komma in för att utföra attacker.
Personer som kommer åt sin Bitbucket-server via bitbucket.org-domäner påverkas inte heller eftersom de är värd för leverantören. Säkerhetsforskaren som hittade denna sårbarhet – Max Garrett – tilldelades en $6 000 bugglön av Atlassian.
Ändå lovade han att släppa en proof-of-concept (POC) exploatering för buggen inom 30 dagar, vilket borde vara tillräckligt för kunderna att korrigera sina system.