Atlassian corrige un error crítico de inyección de comandos en Bitbucket Server

18 Noviembre 2022
Crítico

Atlassian ha publicado nuevas actualizaciones de seguridad para hacer frente  a vulnerabilidades de gravedad crítica que afectan a varias de sus plataformas de Gestión de Identidades Centralizada, entre las cuales se mencionan:

  • Crowd Server and Data Center
  • Bitbucket Server and Data Center

CVE-2022-43782
Mala configuración en Crowd

Las versiones afectadas de Atlassian Crowd permiten que un atacante se autentique como la aplicación de crowd a través de una mala configuración de seguridad y la posterior capacidad de llamar a endpoints privilegiados en la API REST de Crowd bajo la ruta {{usermanagement}}.

Esta vulnerabilidad sólo puede ser explotada por las IP´s especificadas en la lista de permisos de la aplicación crowd en la configuración de Direcciones Remotas, la cual es {{none}} por defecto.

CVE-2022-43781
Falla de Bitbucket

Existe una vulnerabilidad de inyección de comandos utilizando variables de entorno en Bitbucket Server y Data Center. Un atacante con permiso para controlar su nombre de usuario puede explotar este problema para ejecutar código arbitrario en el sistema.

Esta vulnerabilidad puede ser no autenticada si la instancia de Bitbucket Server y Data Center tiene habilitada la opción "Allow public signup''.

 

Versiones que solucionan la brecha de seguridad

  • Crowd - 3.0.0 sin actualizaciòn, fin de vida ùtil
  • Crowd - 4.4.4 o posterior 
  • Crowd - 5.0.3 o posterior
  • Bitbucket - 7.6.19 o posterior
  • Bitbucket - 7.17.12 o posterior
  • Bitbucket - 7.21.6 o posterior
  • Bitbucket - 8.0.5 o posterior
  • Bitbucket - 8.1.5 o posterior
  • Bitbucket - 8.2.4 o posterior
  • Bitbucket - 8.3.3 o posterior
  • Bitbucket - 8.4.2 o posterior
  • Bitbucket - 8.5.0 o posterior

 

Mitigación alternativa

Atlassian recomienda a los usuarios que no puedan efectuar la actualización a las versiones fijas, que deshabiliten "Public Signup, ésto en cierta medida evita que el atacante se autentique, ya que le solicitará credenciales válidas, reduciendo así, el riesgo de explotación.

 

 

ENTEL Weekly Threat Intelligence Brief del 17 al 23 de Octubre de 2022

StrelaStealer, nueva familia de InfoStealer

Nueva vulnerabilidad afecta a Cortex XSOAR de Palo Alto

 

 

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

  • Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.

El listado de las CVE se adjunta a continuación:


Tags: #Atlassian #Crowd #Bitbucket #Vulnerabilidad
  • Productos Afectados
  • Producto Versión
    Crowd Anteriores a 5.0.3
    Bitbucket Anteriores a 8.5.0


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.