Компания Atlassian опубликовала рекомендации по безопасности, предупреждающие пользователей Bitbucket Server и Data Center о критической уязвимости (9,9 балла из 10 возможных по шкале CVSS), которую злоумышленники могут использовать для выполнения произвольного кода.
Разработчики пишут, что проблема CVE-2022-36804 появилась в версии 7.0.0 Bitbucket Server и Data Center. Баг описают как уязвимость внедрения команд, которую можно использовать с помощью специально подготовленных HTTP-запросов.
«Злоумышленник, имеющий доступ к общедоступному репозиторию Bitbucket или с правами на чтение в частном репозитории, может выполнить произвольный код, просто отправив вредоносный HTTP-запрос», — говорится в бюллетене Atlassian.
Проблема, которую обнаружил ИБ-эксперт Макс Гаррет (Max Garrett), известный под псевдонимом @TheGrandPew, затрагивает все версии Bitbucket Server и Datacenter, выпущенные после 6.10.17, включая 7.0.0 и более новые версии:
- Bitbucket Server и Datacenter 7.6;
- Bitbucket Server и Datacenter 7.17;
- Bitbucket Server и Datacenter 7.21;
- Bitbucket Server и Datacenter 8.0;
- Bitbucket Server и Datacenter 8.1;
- Bitbucket Server и Datacenter 8.2;
- Bitbucket Server и Datacenter 8.3.
Версии, в которых проблема исправлена: 7.6.17, 7.17.10, 7.21.4, 8.0.3, 8.1.3, 8.2.2 и 8.3.1
В качестве временной меры защиты (на тот случай, если патчи нельзя применены сразу) Atlassian рекомендует отключить общедоступные репозитории с помощью feature.public.access=false, чтобы предотвратить эксплуатацию уязвимости неавторизованными пользователями. Впрочем, злоумышленник с учетной записью пользователя по-прежнему может преуспеть в атаке.
Гаррет уже пообещал в Twitter, что через 30 дней выпустит PoC-эксплоит для CVE-2022-36804, а пока он дает администраторам запас времени для установки доступных исправлений. При этом Гаррет предупреждает, что реверс-инжиниринг патча Atlassian вряд ли окажется слишком сложным для опытных хакеров, так что атаки на свежую уязвимость могут начаться еще до публикации PoC.
