Dos herramientas de Bitbucket de Atlassian ampliamente utilizadas, Servidor y Centro de datos, tienen una falla de alta gravedad que permite a atacantes remotos con permisos de lectura en un repositorio de Bitbucket público o privado para ejecutar código arbitrario, advirtieron los expertos.
La falla se está utilizando activamente en la naturaleza, señaló la Agencia de Infraestructura y Seguridad Cibernética de EE. UU. (CISA), instando a las empresas que usan las herramientas a parchear (se abre en una pestaña nueva) sus puntos finales (se abre en una pestaña nueva) inmediatamente. Los analistas de tráfico de Internet GreyNoise confirmaron los hallazgos de CISA y dijeron que habían encontrado evidencia de que se estaba explotando la falla.
La falla se rastrea como CVE-2022-36804 y estuvo presente en la versión 7.0.0 de ambas herramientas hasta la versión 8.3.0. Las empresas que no puedan aplicar el parche de inmediato deben desactivar los repositorios públicos para minimizar el riesgo, dijo Atlassian.
parches de verano
La compañía confirmó la existencia de la falla a fines de agosto de 2022, pero esta no es la primera vez este año que Atlassian tuvo que reparar fallas importantes de software.
El verano pasado, se descubrió que varios de sus productos populares, incluidos Jira, Confluence y Bamboo, tenían dos vulnerabilidades de alta gravedad que permitían la ejecución remota de código y la escalada de privilegios.
La primera vulnerabilidad se rastrea como CVE-2022-26136, una omisión arbitraria del filtro de servlet, que permite a los actores de amenazas omitir los filtros de servlet personalizados que las aplicaciones de terceros usan para la autenticación. Todo lo que tendrían que hacer es enviar una solicitud HTTP maliciosa personalizada.
La segunda vulnerabilidad se rastrea como CVE-2022-26137 y se describe como una omisión de uso compartido de recursos de origen cruzado (CORS).
«El envío de una solicitud HTTP especialmente diseñada puede invocar el filtro de servlet utilizado para responder a las solicitudes de CORS, lo que resulta en una omisión de CORS», dijo Atlassian. «Un atacante que puede engañar a un usuario para que solicite una URL maliciosa puede acceder a la aplicación vulnerable con el nombre de la víctima permisos».
Si bien estos dos defectos se encontraron en un puñado de productos de Atlassian, hubo uno más, que se encuentra solo en Confluence. La falla CVE-2022-26138 es, de hecho, una contraseña codificada, configurada para ayudar en las migraciones a la nube.
Desde entonces, los defectos se han reparado.
Vía: El Registro (se abre en una pestaña nueva)