Công ty phần mềm Atlassian của Úc đã tung ra các bản cập nhật bảo mật để giải quyết hai lỗ hổng nghiêm trọng ảnh hưởng đến các sản phẩm Máy chủ Bitbucket, Trung tâm dữ liệu và Đám đông.
Các vấn đề, theo dõi như CVE-2022-43781 và CVE-2022-43782đều được xếp hạng 9/10 trên hệ thống chấm điểm lỗ hổng CVSS.
CVE-2022-43781, mà Atlassian cho biết đã được giới thiệu trong phiên bản 7.0.0 của Trung tâm dữ liệu và máy chủ Bitbucket, ảnh hưởng đến các phiên bản 7.0 đến 7.21 và 8.0 đến 8.4 (chỉ khi mesh.enabled được đặt thành false trong bitbucket.properties).
Điểm yếu được mô tả là trường hợp chèn lệnh bằng cách sử dụng các biến môi trường trong phần mềm, điều này có thể cho phép kẻ thù có quyền kiểm soát tên người dùng của họ để giành quyền thực thi mã trên hệ thống bị ảnh hưởng.
Như một giải pháp thay thế tạm thời, công ty khuyến nghị người dùng tắt tùy chọn “Đăng ký công khai” (Quản trị > Xác thực).
“Việc vô hiệu hóa đăng ký công khai sẽ thay đổi phương thức tấn công từ một cuộc tấn công không được xác thực sang một cuộc tấn công được xác thực, điều này sẽ làm giảm nguy cơ bị khai thác”, nó lưu ý trong một lời khuyên. “Người dùng được xác thực ADMIN hoặc SYS_ADMIN vẫn có khả năng khai thác lỗ hổng khi đăng ký công khai bị vô hiệu hóa.”
Lỗ hổng thứ hai, CVE-2022-43782, liên quan đến cấu hình sai trong Máy chủ đám đông và Trung tâm dữ liệu có thể cho phép kẻ tấn công gọi các điểm cuối API đặc quyền, nhưng chỉ trong các tình huống mà kẻ xấu đang kết nối từ một địa chỉ IP được thêm vào cấu hình Địa chỉ từ xa .
Được giới thiệu trong Crowd 3.0.0 và được xác định trong quá trình đánh giá bảo mật nội bộ, lỗ hổng này ảnh hưởng đến tất cả các cài đặt mới, nghĩa là người dùng đã nâng cấp từ phiên bản trước Crowd 3.0.0 không dễ bị tấn công.
Không có gì lạ khi các lỗ hổng trong Atlassian và Bitbucket bị khai thác tích cực trong tự nhiên, khiến người dùng bắt buộc phải nhanh chóng áp dụng các bản vá.
Tháng trước, Cơ quan an ninh cơ sở hạ tầng và an ninh mạng Hoa Kỳ (CISA) đã cảnh báo rằng một lỗ hổng chèn lệnh trong Trung tâm dữ liệu và máy chủ Bitbucket (CVE-2022-36804, điểm CVSS: 9,9) đã được vũ khí hóa trong các cuộc tấn công kể từ cuối tháng 9 năm 2022.
