Atlassian, Bitbucket Server ve Data Center kullanıcılarını, saldırganların savunmasız örnekler üzerinde rastgele kod yürütmek için kullanabileceği kritik bir güvenlik açığı konusunda uyaran bir güvenlik tavsiyesi yayınladı.
Bitbucket, Jira ve Trello entegrasyonuna sahip Git tabanlı bir kod barındırma, yönetim ve işbirliği aracıdır.
En son kusur şu şekilde izlenir: CVE-2022-36804 ve yazılım ürününün birden çok API uç noktasına bir komut enjeksiyonudur. CVSS aldı 9,9 önem derecesi puanı maksimum 10.0 üzerinden, bu, hemen yamalanması gereken kritik bir güvenlik açığıdır.
“Bir saldırgana erişimi olan bir halka açık deposu veya özel bir Bitbucket deposuna okuma izinleri olan bir depo, kötü amaçlı bir HTTP isteği göndererek rastgele kod yürütebilir” diye açıklıyor. Atlassian’ın danışmanlığı.
Güvenlik açığı, 7.0.0 ve 8.3.0’a kadar olan sürümler dahil 6.10.17’den sonraki tüm Bitbucket Sunucu ve Veri Merkezi sürümlerini etkiler.
Sorunu çözen sürümler 7.6.17, 7.17.10, 7.21.4, 8.0.3, 8.1.3, 8.2.2 ve 8.3.1’dir. Ne yazık ki, 6.x dalının daha eski ve desteklenmeyen sürümleri bu kusur için bir düzeltme almayacak.
Güvenlik güncellemelerini uygulayamayanlara, “feature.public.access=false” kullanarak genel depoları kapatarak geçici kısmi azaltma uygulamaları önerilir.
Bu şekilde, örnekler yetkisiz kullanıcılar tarafından erişilemez; ancak, geçerli kimlik bilgilerini tehlikeye atan tehdit aktörleri gibi yetkili kullanıcılar yine de saldırılar gerçekleştirebilir.
Atlassian, Bitbucket’e bitbucket.org etki alanları aracılığıyla erişenlerin kritik RCE’den etkilenmediğini, çünkü satıcının bu örnekleri barındırdığını belirtiyor.
PoC yolda
Temmuz 2022’de CVE-2022-36804’ü keşfeden güvenlik araştırmacısı, maksimum garrettşirketin Bugcrowd’daki hata ödül programı aracılığıyla Atlassian’a bildirdi ve bulgusu için 6.000 dolar aldı.
Dün, genç araştırmacı Twitter’da hata için 30 gün içinde bir kavram kanıtı (PoC) açığı yayınlayacağına söz verdi ve sistem yöneticilerine mevcut düzeltmeleri uygulamak için rahat bir zaman aralığı verdi.
PoC’nin piyasaya sürülmesi, kritik RCE kusurunun bilgisayar korsanları tarafından aktif olarak kullanılmasında bir artışa neden olacak, ancak bunun daha erken olmayacağının garantisi yok.
Garrett, BleepingComputer’a Atlassian’ın ters mühendislik yamasının yetenekli bilgisayar korsanları için çok zor olmaması gerektiğini söyledi.
Uzaktan kod yürütme, tüm güvenlik açığı türlerinin en güçlüsüdür ve saldırganların tüm güvenlik önlemlerini atlayarak kapsamlı hasar vermesini sağlar, bu nedenle amaç oradadır.
Bununla birlikte, Bitbucket Sunucusu ve Veri Merkezi kullanıcılarının mümkün olan en kısa sürede mevcut güvenlik güncellemesini veya azaltmalarını uygulamaları tavsiye edilir.