Due strumenti Atlassian Bitbucket ampiamente utilizzati, Server e Data Center, presentano un difetto di elevata gravità che consente agli aggressori remoti con permessi di lettura su un repository Bitbucket pubblico o privato di eseguire codice arbitrario, hanno avvertito gli esperti.
La falla viene utilizzata attivamente in natura, ha osservato la Cybersecurity and Infrastructure Agency (CISA) degli Stati Uniti, esortando le aziende che utilizzano gli strumenti a patchare (si apre in una nuova scheda) i propri endpoint (si apre in una nuova scheda) immediatamente. Gli analisti del traffico Internet GreyNoise hanno confermato le scoperte della CISA e hanno affermato di aver trovato prove dello sfruttamento della falla.
Il difetto è identificato come CVE-2022-36804 ed era presente nella versione 7.0.0 di entrambi gli strumenti fino alla versione 8.3.0. Le aziende che non possono applicare immediatamente la patch dovrebbero disabilitare i repository pubblici per ridurre al minimo i rischi, ha affermato Atlassian.
toppe estive
L’azienda ha confermato l’esistenza del difetto a fine agosto 2022, ma non è la prima volta quest’anno che Atlassian ha dovuto correggere importanti difetti del software.
L'estate scorsa, si è scoperto che molti dei suoi prodotti popolari, tra cui Jira, Confluence e Bamboo, presentavano due vulnerabilità molto gravi che consentivano l'esecuzione di codice in modalità remota e l'elevazione dei privilegi.
La prima vulnerabilità è identificata come CVE-2022-26136, un bypass del filtro servlet arbitrario, che consente agli aggressori di aggirare i filtri servlet personalizzati utilizzati dalle applicazioni di terze parti per l'autenticazione. Tutto ciò che dovrebbero fare è inviare una richiesta HTTP dannosa personalizzata.
La seconda vulnerabilità è identificata come CVE-2022-26137 ed è descritta come un bypass di condivisione delle risorse tra le origini (CORS).
"L'invio di una richiesta HTTP appositamente predisposta può richiamare il filtro servlet utilizzato per rispondere alle richieste CORS, risultando in un bypass CORS", ha affermato Atlassian. "Un utente malintenzionato che può indurre un utente a richiedere un URL dannoso può accedere all'applicazione vulnerabile con le autorizzazioni appropriate."
Mentre questi due difetti sono stati trovati in una manciata di prodotti Atlassian, ce n'era uno in più, trovato solo in Confluence. Il difetto CVE-2022-26138 è in realtà una password scramble, implementata per facilitare le migrazioni cloud.
Da allora i difetti sono stati risolti.
Via: Il Registro (si apre in una nuova scheda)