Atlassian, saldırganların savunmasız örneklerde keyfi kod yürütmek için yararlanabilecekleri kritik bir güvenlik kusurunun bir güvenlik danışmanlığı uyarısı ve veri merkezi kullanıcıları yayınladı.
Bitbucket, Jira ve Trello entegrasyonu ile git tabanlı bir kod barındırma, yönetim ve işbirliği aracıdır.
En son kusur CVE-2022-36804 olarak izlenir ve yazılım ürününün birden fazla API uç noktasında bir komut enjeksiyonudur. Maksimum 10.0 üzerinden 9,9'luk bir CVSS şiddeti puanı aldı, bu da bunu hemen yamalanması gereken kritik bir güvenlik açığı haline getirdi.
Atlassian'ın danışmanlığı, "Kamu deposuna erişimi veya özel bir Bitbucket deposuna okuma izinleri olan bir saldırgan, kötü niyetli bir HTTP isteği göndererek keyfi kod yürütebilir."
Güvenlik açığı, 6.10.17'den sonra, 7.0.0 ve 8.3.0'a kadar tüm Bitbucket Sunucusu ve Veri Merkezi sürümlerini etkiler.
Sorunu ele alan sürümler 7.6.17, 7.17.10, 7.21.4, 8.0.3, 8.1.3, 8.2.2 ve 8.3.1'dir. Ne yazık ki, 6.x şubesinin eski ve desteklenmeyen sürümleri bu kusur için bir düzeltme almayacaktır.
Güvenlik güncellemelerini uygulayamayanlara, “Feature.public.access = false” kullanarak kamu depolarını kapatarak geçici kısmi azaltma uygulamaları önerilir.
Bu şekilde, örneklere yetkisiz kullanıcılar için erişilemez; Bununla birlikte, geçerli kimlik bilgilerini tehlikeye atan tehdit aktörleri gibi yetkili kullanıcılar yine de saldırılar yapabilir.
Atlassian, Bitbucket'e bitbucket.org alanları aracılığıyla erişenlerin, satıcı bu örneklere ev sahipliği yaptığı için kritik RCE'den etkilenmediğini belirtiyor.
CVE-2022-36804'ü Temmuz 2022'de keşfeden Güvenlik Araştırmacısı Max Garrett, firmanın Bugcrowd'daki böcek ödül programı aracılığıyla Atlassian'a bildirdi ve bulgusu için 6.000 dolar aldı.
Dün, genç araştırmacı Twitter'da 30 gün içinde hata için bir kavram kanıtı (POC) istismarını yayınlama sözü verdi ve sistem yöneticilerine mevcut düzeltmeleri uygulamak için rahat bir zaman marjı verdi.
POC'nin piyasaya sürülmesi, korsanlar tarafından kritik RCE kusurunun aktif olarak sömürülmesinde bir artışa neden olmak zorundadır, ancak bunun daha erken gerçekleşmeyeceğine dair bir garanti yoktur.
Garrett, BleepingComputer'a, Ters Mühendislik Atlassian'ın yamasının yetenekli bilgisayar korsanları için çok zor olmaması gerektiğini söyledi.
Uzaktan kod yürütme, tüm güvenlik açığı türlerinin en güçlü olanıdır ve saldırganların tüm güvenlik önlemlerini atlarken büyük hasar vermesini sağlar, bu nedenle güdü vardır.
Bununla birlikte, Bitbucket Sunucusu ve Veri Merkezi kullanıcılarına en kısa sürede mevcut güvenlik güncellemesini veya hafifletmelerini uygulamaları tavsiye edilir.
GitLab, kritik RCE güvenlik açığı yama yapmayı 'şiddetle tavsiye ediyor'
Kritik RCE Güvenlik Açığı Draytek yönlendiricilerinin 29 modelini etkiler
PHP Web Kabuklarını Yüklemek İçin Büyük Kampanyada Hacklenen Elastix VoIP Systems
Birçok ağ cihazını etkileyen kritik Realtek kusurundan yararlanın
Zimbra Auth Bypass hatası 1000'den fazla sunucuyu ihlal etmek için kullanıldı
Kaynak: Bleeping Computer