ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) Cuma günü katma Atlassian’ın Bitbucket Sunucusunu ve Veri Merkezini Bilinen Sömürülen Güvenlik Açıklarına karşı etkileyen yakın zamanda açıklanan kritik bir kusur (KEV) katalog, aktif sömürü kanıtına atıfta bulunur.
CVE-2022-36804 olarak izlenen sorun, kötü niyetli kişilerin özel hazırlanmış bir HTTP isteği göndererek hassas kurulumlarda rasgele kod yürütmesine olanak verebilecek bir komut ekleme güvenlik açığıyla ilgilidir.
Bununla birlikte, başarılı bir istismar, saldırganın zaten bir genel havuza erişimi olması veya özel bir Bitbucket havuzuna yönelik okuma izinlerine sahip olması önkoşuluna güvenir.
Atlassian, “Bitbucket Server ve Datacenter’ın 7.0.0 ve daha yeni sürümler dahil 6.10.17’den sonra yayımlanan tüm sürümleri etkilenir; bu, 7.0.0 ve 8.3.0 dahil tüm sürümleri çalıştıran tüm örneklerin bu güvenlik açığından etkilendiği anlamına gelir.” kayıt edilmiş Ağustos 2022’nin sonlarında bir danışma belgesinde.
CISA, kusurun nasıl kullanıldığı ve istismar çabalarının ne kadar yaygın olduğu hakkında daha fazla ayrıntı vermedi, ancak GreyNoise söz konusu 20 ve 23 Eylül’de vahşi yaşam kanıtı tespit etti.
Karşı önlem olarak, tüm Federal Sivil Yürütme Şubesi (FCEB) kurumlarının ağları aktif tehditlere karşı korumak için 21 Ekim 2022’ye kadar güvenlik açıklarını düzeltmesi gerekiyor.