Severity: CRITICAL

CVSSv3 score: 9.8

Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Mô tả:

Ngày 12/10/2022, một lỗ hổng command injection mức độ nghiêm trọng - CVE-2022-43781 được phát hiện trong Bitbucket Server và Bitbucket Data Center của Atlassian.

Kẻ tấn công khi có quyền kiểm soát tên người dùng của họ có thể khai thác chèn các lệnh độc hại sử dụng các biến môi trường để thực thi mã tùy ý trên hệ thống. Thậm chí, user không xác thực cũng có thể khai thác lỗ hổng nếu máy chủ đã kích hoạt cấu hình “Allow public signup”.

Các phiên bản bị ảnh hưởng:

Bitbucket Server và Bitbucket Data Center:

7.0 to 7.5 (all versions)
7.6.0 to 7.6.18
7.7 to 7.16 (all versions)
7.17.0 to 7.17.11
7.18 to 7.20 (all versions)
7.21.0 to 7.21.5

Nếu có setting mesh.enabled=false được set trong bitbucket.properties:

8.0.0 to 8.0.4
8.1.0 to 8.1.4
8.2.0 to 8.2.3
8.3.0 to 8.3.2
8.4.0 to 8.4.1

Các phiên bản không bị ảnh hưởng:

Bitbucket được host bởi Atlassian trên Atlassian Cloud sites bitbucket.org.

Các phiên bản Bitbucket Server và Data Center chạy PostgreSQL không bị ảnh hưởng.

Các phiên bản dưới đây đã được cập nhật vá, sửa lỗi:

7.6.19 or newer
7.17.12 or newer
7.21.6 or newer
8.0.5 or newer
8.1.5 or newer
8.2.4 or newer
8.3.3 or newer
8.4.2 or newer
8.5.0 or newer

Khuyến nghị

Các sysadmin có hệ thống Bitbucket Server và Data Center đang bị ảnh hưởng được khuyến nghị phải nâng cấp hệ thống tới các phiên bản sửa lỗi tương ứng (https://www.atlassian.com/software/bitbucket/download-archives).

Nếu chưa thể nâng cấp hệ thống, cần thực hiện disable cấu hình “Public Signup”: vào phần “Administration” -> “Authentication” và bỏ checkbox tuỳ chọn “Allow public sign up”. Setting này giúp giảm thiểu rủi ro khi attack vector không còn cho phép tấn công bởi unauthenticated user, tuy nhiên ADMIN hoặc SYS_ADMIN users vẫn có khả năng khai thác lỗ hổng.

Tham khảo

https://nvd.nist.gov/vuln/detail/CVE-2022-43781

https://confluence.atlassian.com/bitbucketserver/bitbucket-server-and-data-center-security-advisory-2022-11-16-1180141667.html

https://jira.atlassian.com/browse/BSERV-13522