Компания Atlassian опубликовала рекомендации по безопасности, предупреждающие пользователей Bitbucket Server и Data Center о критической уязвимости (9,9 балла из 10 возможных по шкале CVSS), которую злоумышленники могут использовать для выполнения произвольного кода.

Разработчики пишут, что проблема CVE-2022-36804 появилась в версии 7.0.0 Bitbucket Server и Data Center. Баг описают как уязвимость внедрения команд, которую можно  использовать с помощью специально подготовленных HTTP-запросов.

«Злоумышленник, имеющий доступ к общедоступному репозиторию Bitbucket или с правами на чтение в частном репозитории, может выполнить произвольный код, просто отправив вредоносный HTTP-запрос», — говорится в бюллетене Atlassian.

Проблема, которую обнаружил ИБ-эксперт Макс Гаррет (Max Garrett), известный под псевдонимом @TheGrandPew, затрагивает все версии Bitbucket Server и Datacenter, выпущенные после 6.10.17, включая 7.0.0 и более новые версии:

  • Bitbucket Server и Datacenter 7.6;
  • Bitbucket Server и Datacenter 7.17;
  • Bitbucket Server и Datacenter 7.21;
  • Bitbucket Server и Datacenter 8.0;
  • Bitbucket Server и Datacenter 8.1;
  • Bitbucket Server и Datacenter 8.2;
  • Bitbucket Server и Datacenter 8.3.

Версии, в которых проблема исправлена: 7.6.17, 7.17.10, 7.21.4, 8.0.3, 8.1.3, 8.2.2 и 8.3.1

В качестве временной меры защиты (на тот случай, если патчи нельзя применены сразу) Atlassian рекомендует отключить общедоступные репозитории с помощью feature.public.access=false, чтобы предотвратить эксплуатацию уязвимости неавторизованными пользователями. Впрочем, злоумышленник с учетной записью пользователя по-прежнему может преуспеть в атаке.

Гаррет уже пообещал в Twitter, что через 30 дней выпустит PoC-эксплоит для CVE-2022-36804, а пока он дает администраторам запас времени для установки доступных исправлений. При этом Гаррет предупреждает, что реверс-инжиниринг патча Atlassian вряд ли окажется слишком сложным для опытных хакеров, так что атаки на свежую уязвимость могут начаться еще до публикации PoC.

Подписаться
Уведомить о
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии