Atlassian đã triển khai các bản sửa lỗi để khắc phục lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến sản phẩm Data center và Bitbucket Server

CVE-2022-43781 (chưa có điểm CVSS) được mô tả là lỗ hổng chèn lệnh (command injection) sử dụng các biến môi trường có thể bị khai thác thông qua các yêu cầu tự tạo.

Atlassian cho biết kẻ tấn công có quyền kiểm soát tên người dùng có thể khai thác lỗ hổng này để giành quyền thực thi mã trên hệ thống.

Sự cố ảnh hưởng đến tất cả các phiên bản của Trung tâm dữ liệu và Máy chủ Bitbucket từ 7.0 đến 7.21. Các phiên bản 8.0 đến 8.4 của Máy chủ Bitbucket và Trung tâm dữ liệu cũng bị ảnh hưởng bởi lỗ hổng này nếu mesh.enabled=false được đặt trong bitbucket.properties.

Công ty cho biết các phiên bản Máy chủ Bitbucket và Trung tâm dữ liệu chạy PostgreSQL không bị ảnh hưởng bởi sự cố này.

Người dùng được khuyến cáo nên cập nhật lên phiên bản mới nhất càng sớm càng tốt hoặc áp dụng biện pháp tạm thời bằng cách tắt “Public Signup” để giảm nguy cơ bị khai thác. Vô hiệu hóa public signup (đăng ký công khai) sẽ thay đổi vector tấn công từ không xác thực thành xác thực. Để tắt cài đặt này, truy cập Administration > Authentication > bỏ chọn checkbox Allow public sign up. Tuy nhiên, người dùng được xác thực ADMIN hoặc SYS_ADMIN vẫn có khả năng khai thác lỗ hổng khi đã tắt tính năng public signup.

Hiện trên thế giới có 1555 dịch vụ đang tiếp xúc với Internet, trong đó Việt Nam ghi nhận 4 dịch vụ.

Nguồn :https://securityonline.info/