8月间Atlassian Bitbucket被披露有个风险值9.9的重大漏洞,本周美国政府安全主管机关警告用户小心恶意活动。旧版软件用户将面临无更新可下载的困境。
Bitbucket是一Git存储库管理及CI/CD平台,可以托管服务或本地部署方式提供。8月底独立安全研究人员@GrandPew披露编号CVE-2022-36804漏洞,影响本地部署的Bitbucket Server及Data Center版本的漏洞。它是一个指令注入漏洞,发生在这2项软件的多项API端点,可让具备公开存储库或读取私有Bitbucket权限的攻击者,借由发送恶意HTTP调用开采,并执行任意程序代码。Atlassian将该漏洞风险等级列为9.9。
上周安全厂商Coalition发现本漏洞在9月20日起有滥用活动迹象,攻击来源位于东南亚地区及美国。
而后美国网络安全暨基础架构管理局(CISA)也更新已知遭滥用漏洞的清单,列入CVE-2022-36804,呼吁政府机关及企业组织应尽快修补。
本漏洞影响执行在Server及Data Center版6.10.17以后的执行实例。Atlassian已针对现在还支持的7.0.0到8.3.0版本发布更新。但是6.10.17到7.0.0之间则处于曝险状态,而且不会有修补程序。
CISA同时警告Exchange Server及Sophos防火墙也正遭受攻击。遭开采的漏洞包括上周越南安全企业GTSC发现的Exchange Server“服务器端请求伪造”漏洞(Server Side Request Forgery,SSRF)CVE-2022-41040、远程程序代码执行(RCE)漏洞CVE-2022-41082,以及Sophos防火墙程序代码注入漏洞CVE-2022-3236。