Η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομής των Ηνωμένων Πολιτειών (CISA) προειδοποιεί για την ενεργό εκμετάλλευση μιας πρόσφατης ευπάθειας του Atlassian Bitbucket και δύο μηδενικών ημερών του Microsoft Exchange.
Το Atlassian Bitbucket είναι μια λύση διαχείρισης αποθετηρίου που βασίζεται σε Git που παρέχει δυνατότητες φιλοξενίας και κοινής χρήσης πηγαίου κώδικα.
Παρακολούθηση ως CVE-2022-36804 (βαθμολογία CVSS 9,9), η ευπάθεια που χρησιμοποιείται τώρα περιγράφεται ως σφάλμα εισαγωγής εντολών που επηρεάζει πολλαπλά τελικά σημεία API του διακομιστή Bitbucket και του Κέντρου δεδομένων.
«Ένας εισβολέας με πρόσβαση σε ένα δημόσιο αποθετήριο Bitbucket ή με δικαιώματα ανάγνωσης σε ιδιωτικό μπορεί να εκτελέσει αυθαίρετο κώδικα στέλνοντας ένα κακόβουλο αίτημα HTTP», εξηγεί ο Atlassian.
Το ζήτημα επηρεάζει όλες τις εκδόσεις του Bitbucket που κυκλοφόρησαν μετά την 6.10.17, πράγμα που σημαίνει ότι «οποιεσδήποτε εκδόσεις μεταξύ 7.0.0 και 8.3.0 μπορούν να χρησιμοποιηθούν από αυτήν την ευπάθεια», σημειώνει η εταιρεία στη συμβουλευτική της.
Η Atlassian κυκλοφόρησε μια ενημέρωση κώδικα για αυτό το ελάττωμα ασφαλείας τον Αύγουστο του 2022, αλλά φαίνεται ότι δεν ενημέρωσαν όλοι οι χρήστες του Bitbucket τις αναπτύξεις τους και η εκμετάλλευση αυτού του σφάλματος ασφαλείας ξεκίνησε τουλάχιστον πριν από δύο εβδομάδες.
«Παρατηρούμε ενεργή σάρωση και εκμετάλλευση του CVE-2022-36804 που μόλις ανακοινώθηκε – αυτό το CVE επηρεάζει το Atlassian Bitbucket», έγραψε στις 23 Σεπτεμβρίου ο Tiago Henriques, ιδρυτής του BinaryEdge που ανήκει στην Coalition.
Τα δεδομένα από την εταιρεία πληροφοριών απειλών GreyNoise δείχνουν επίσης κακόβουλες απόπειρες εκμετάλλευσης στα τέλη Σεπτεμβρίου.
CISA ανακοίνωσε την Παρασκευή ότι πρόσθεσε το CVE-2022-36804 στον κατάλογο Γνωστών Εκμεταλλευόμενων Ευπαθειών (KEV), με βάση στοιχεία ενεργητικής εκμετάλλευσης.
Επίσης την Παρασκευή, η CISA πρόσθεσε στη λίστα KEV δύο μηδενικές ημέρες του Microsoft Exchange που δημοσιοποιήθηκαν την περασμένη εβδομάδα και οι οποίες παρακολουθούνται ως CVE-2022-41040 (πλαστογράφηση αιτημάτων από την πλευρά του διακομιστή – SSRF) και CVE-2022-41082 (απομακρυσμένη εκτέλεση κώδικα).
Η επιτυχής εκμετάλλευση των δύο ελαττωμάτων – τα οποία ονομάζονται ProxyNotShell, λόγω ομοιοτήτων με το ελάττωμα του Exchange Server που ονομάζεται ProxyShell – απαιτεί πρόσβαση με έλεγχο ταυτότητας σε έναν ευάλωτο διακομιστή.
