Vendredi, l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) ajoutée une faille critique récemment révélée affectant le serveur et le centre de données Bitbucket d’Atlassian aux vulnérabilités exploitées connues (KEV) catalogue, citant des preuves d’exploitation active.
Suivi sous le nom de CVE-2022-36804, le problème concerne une vulnérabilité d’injection de commande qui pourrait permettre à des acteurs malveillants d’obtenir l’exécution de code arbitraire sur des installations sensibles en envoyant une requête HTTP spécialement conçue.
Cependant, une exploitation réussie repose sur la condition préalable que l’attaquant ait déjà accès à un référentiel public ou possède des autorisations de lecture sur un référentiel Bitbucket privé.
« Toutes les versions de Bitbucket Server et Datacenter publiées après 6.10.17, y compris 7.0.0 et les versions ultérieures, sont affectées, cela signifie que toutes les instances qui exécutent des versions comprises entre 7.0.0 et 8.3.0 inclus sont affectées par cette vulnérabilité », Atlassian c’est noté dans un avis fin août 2022.
CISA n’a pas fourni plus de détails sur la façon dont la faille est exploitée et sur l’étendue des efforts d’exploitation, mais GreyNoise a dit il a détecté des preuves de présence dans la nature les 20 et 23 septembre.
En tant que contre-mesures, toutes les agences du pouvoir exécutif civil fédéral (FCEB) sont tenues de remédier aux vulnérabilités d’ici le 21 octobre 2022 pour protéger les réseaux contre les menaces actives.