最后更新于2022年9月26日(星期一)14:29:02 GMT
2022年8月24日,Atlassian发布了 Bitbucket服务器和数据中心的咨询 提醒用户 cve - 2022 - 36804. 该通知揭示了多个API端点中的命令注入漏洞, 哪一个允许攻击者访问公共存储库或 阅读权限 到私有Bitbucket存储库,通过发送恶意HTTP请求来执行任意代码. cve - 2022 - 36804的CVSSv3得分为9.而且很容易被利用. Rapid7的漏洞研究团队有一个 完整的技术分析在ackerkb,包括如何使用cve - 2022 - 36804创建一个简单的反向shell.
据Shodan说, 大约有1个,400台面向internet的服务器, 但目前还不清楚有多少人拥有公共存储库. 截至9月20日,还没有关于野外开采的公开报道, 2022年(编辑:见下文注释), 但研究人员和漏洞经纪人对这一漏洞有着浓厚的兴趣, 现在有多个公共漏洞可用. 因为这个漏洞很容易被利用,而且这个补丁相对来说很容易被逆向工程破解, 有针对性的开发很可能已经在野外发生了. 我们预计很快就会看到cve - 2022 - 36804的大规模利用.
注意: 几个威胁情报来源 报道 截至2022年9月23日,在野外看到了开发尝试.
受影响的产品:
Bitbucket服务器和数据中心.6在7之前.6.17
Bitbucket服务器和数据中心.17在7之前.17.10
Bitbucket服务器和数据中心.21在7之前.21.4
Bitbucket服务器和数据中心.0到8.0.3
Bitbucket服务器和数据中心.1在8之前.1.3
Bitbucket服务器和数据中心.2在8之前.2.2
Bitbucket服务器和数据中心.3在8之前.3.1
缓解指导
在其环境中使用Bitbucket Server和Data Center的组织应尽快打补丁 使用Atlassian的指南,而无需等待正常的补丁周期发生. 阻止网络访问Bitbucket也可以作为一个临时的权宜之计, 但这不应该代替打补丁.
Rapid7客户
InsightVM和expose客户可以在9月20日使用未经身份验证的漏洞检查来评估他们对cve - 2022 - 36804的暴露情况, 2022年内容发布(ContentOnly-content-1.1.2653-202209202050).
一个检测规则, 可疑进程- Atlassian BitBucket生成可疑命令于美国东部时间2022年9月22日上午10点左右部署到insighttidr.
更新
2022年9月22日美国东部时间上午10点
更新了Rapid7客户部分,包括关于新的IDR检测规则的信息.
2022年9月26日美国东部时间上午10:30
更新以反映在野外开发的报告.
更多阅读:
