Atlassian corrige un error crítico de inyección de comandos en Bitbucket Server

Atlassian ha publicado nuevas actualizaciones de seguridad para hacer frente  a vulnerabilidades de gravedad crítica que afectan a varias de sus plataformas de Gestión de Identidades Centralizada, entre las cuales se mencionan:

• Crowd Server and Data Center
• Bitbucket Server and Data Center

CVE-2022-43782
Mala configuración en Crowd
Las versiones afectadas de Atlassian Crowd permiten que un atacante se autentique como la aplicación de crowd a través de una mala configuración de seguridad y la posterior capacidad de llamar a endpoints privilegiados en la API REST de Crowd bajo la ruta {{usermanagement}}.

Esta vulnerabilidad sólo puede ser explotada por las IP´s especificadas en la lista de permisos de la aplicación crowd en la configuración de Direcciones Remotas, la cual es {{none}} por defecto.

CVE-2022-43781
Falla de Bitbucket
Existe una vulnerabilidad de inyección de comandos utilizando variables de entorno en Bitbucket Server y Data Center. Un atacante con permiso para controlar su nombre de usuario puede explotar este problema para ejecutar código arbitrario en el sistema.

Esta vulnerabilidad puede ser no autenticada si la instancia de Bitbucket Server y Data Center tiene habilitada la opción "Allow public signup''.

Versiones que solucionan la brecha de seguridad

• Crowd - 3.0.0 sin actualizaciòn, fin de vida ùtil
• Crowd - 4.4.4 o posterior 
• Crowd - 5.0.3 o posterior
• Bitbucket - 7.6.19 o posterior
• Bitbucket - 7.17.12 o posterior
• Bitbucket - 7.21.6 o posterior
• Bitbucket - 8.0.5 o posterior
• Bitbucket - 8.1.5 o posterior
• Bitbucket - 8.2.4 o posterior
• Bitbucket - 8.3.3 o posterior
• Bitbucket - 8.4.2 o posterior
• Bitbucket - 8.5.0 o posterior

Mitigación alternativa

Atlassian recomienda a los usuarios que no puedan efectuar la actualización a las versiones fijas, que deshabiliten "Public Signup, ésto en cierta medida evita que el atacante se autentique, ya que le solicitará credenciales válidas, reduciendo así, el riesgo de explotación.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.