La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) el viernes adicional una falla crítica recientemente revelada que afecta el servidor Bitbucket y el centro de datos de Atlassian a las vulnerabilidades explotadas conocidas (KEV) catálogo, citando evidencia de explotación activa.
El problema, rastreado como CVE-2022-36804, se relaciona con una vulnerabilidad de inyección de comandos que podría permitir a los actores maliciosos obtener la ejecución de código arbitrario en instalaciones susceptibles mediante el envío de una solicitud HTTP especialmente diseñada.
Sin embargo, la explotación exitosa depende del requisito previo de que el atacante ya tenga acceso a un repositorio público o posea permisos de lectura para un repositorio privado de Bitbucket.
«Todas las versiones de Bitbucket Server y Datacenter lanzadas después de la 6.10.17, incluida la 7.0.0 y posteriores, se ven afectadas, lo que significa que todas las instancias que ejecutan cualquier versión entre 7.0.0 y 8.3.0 inclusive se ven afectadas por esta vulnerabilidad», Atlassian señalado en un aviso de finales de agosto de 2022.
CISA no proporcionó más detalles sobre cómo se explota la falla y qué tan extendidos son los esfuerzos de explotación, pero GreyNoise dijo detectó evidencia de vida silvestre el 20 y 23 de septiembre.
Como contramedidas, todas las agencias de la Rama Ejecutiva Civil Federal (FCEB) deben remediar las vulnerabilidades antes del 21 de octubre de 2022 para proteger las redes contra amenazas activas.