Phát hiện lỗ hổng nghiêm trọng trong máy chủ và Data Center Atlassian Bitbucket

Mới đây, Atlassian đã phát hành các bản vá cho một lỗ hổng bảo mật nghiêm trọng trong Máy chủ Bitbucket và Data Center có thể cho phép kẻ xấu thực thi mã trên các phiên bản bị ảnh hưởng.

Có định danh CVE-2022-36804 (điểm CVSS: 9,9 trên thang 10), là một lỗ hổng command injection tồn tại trong nhiều endpoint có thể bị khai thác thông qua các request HTTP độc hại.

Atlassian cho biết “kẻ tấn công có quyền truy cập vào kho lưu trữ (repository) Bitbucket công khai hoặc có quyền đọc đối với một kho bí mật có thể thực thi mã tùy ý bằng cách gửi một HTTP request độc hại.

Lỗ hổng đã được nhà nghiên cứu @TheGrandPew phát hiện và báo cáo, ảnh hưởng đến tất cả phiên bản Bitbucket Server và Datacenter được phát hành sau 6.10.17, bao gồm 7.0.0 và các phiên bản mới hơn sau:

- Máy chủ Bitbucket và Datacenter 7.6

- Máy chủ Bitbucket và Datacenter 7.17

- Máy chủ Bitbucket và Datacenter 7.21

- Máy chủ Bitbucket và Datacenter 8.0

- Máy chủ Bitbucket và Datacenter 8.1

- Máy chủ Bitbucket và Datacenter 8.2

- Máy chủ Bitbucket và Datacenter 8.3

Atlassian khuyến nghị người dùng của các phiên bản phần mềm bị ảnh hưởng nên nâng cấp lên phiên bản mới nhất càng sớm càng tốt để giảm thiểu các mối đe dọa tiềm ẩn.

Trong các trường hợp không thể áp dụng các bản vá ngay lập tức, bạn nên tắt các kho lưu trữ công khai bằng cách sử dụng "feature.public.access=false" để ngăn kẻ xấu khai thác lỗ hổng.

Tuy nhiên, Atlassian cảnh báo rằng "đây không phải là một biện pháp giảm thiểu hoàn toàn vì kẻ tấn công nếu lấy được tài khoản người dùng vẫn có thể khai thác thành công lỗ hổng này".

Nguồn: thehackernews.com.