Atlassian ha publicado nuevas actualizaciones de seguridad para hacer frente a vulnerabilidades de gravedad crítica que afectan a varias de sus plataformas de Gestión de Identidades Centralizada, entre las cuales se mencionan:
CVE-2022-43782
Mala configuración en Crowd
Las versiones afectadas de Atlassian Crowd permiten que un atacante se autentique como la aplicación de crowd a través de una mala configuración de seguridad y la posterior capacidad de llamar a endpoints privilegiados en la API REST de Crowd bajo la ruta {{usermanagement}}.
Esta vulnerabilidad sólo puede ser explotada por las IP´s especificadas en la lista de permisos de la aplicación crowd en la configuración de Direcciones Remotas, la cual es {{none}} por defecto.
CVE-2022-43781
Falla de Bitbucket
Existe una vulnerabilidad de inyección de comandos utilizando variables de entorno en Bitbucket Server y Data Center. Un atacante con permiso para controlar su nombre de usuario puede explotar este problema para ejecutar código arbitrario en el sistema.
Esta vulnerabilidad puede ser no autenticada si la instancia de Bitbucket Server y Data Center tiene habilitada la opción "Allow public signup''.
Versiones que solucionan la brecha de seguridad
Mitigación alternativa
Atlassian recomienda a los usuarios que no puedan efectuar la actualización a las versiones fijas, que deshabiliten "Public Signup, ésto en cierta medida evita que el atacante se autentique, ya que le solicitará credenciales válidas, reduciendo así, el riesgo de explotación.
ENTEL Weekly Threat Intelligence Brief del 17 al 23 de Octubre de 2022 |
El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:
El listado de las CVE se adjunta a continuación: