Η Atlassian κυκλοφόρησε ενημερώσεις για την πλατφόρμα διαχείρισης ταυτότητας Crowd Server and Data Center, καθώς και για το Bitbucket Server and Data Center, το οποίο είναι μια λύση για τη διαχείριση Git repository. Οι ενημερώσεις αυτές αντιμετωπίζουν ζητήματα κρίσιμης σοβαρότητας.
Και οι δύο ευπάθειες ασφαλείας επηρεάζουν πολλαπλές εκδόσεις των προϊόντων και έλαβαν βαθμολογία σοβαρότητας 9 στα 10 από την Atlassian.
Δείτε επίσης: Hive ransomware: Απέσπασε πάνω από 100 εκατομμύρια
Δείτε επίσης: ARCrypter ransomware: Στοχεύει οργανισμούς σε όλο τον κόσμο
Υπήρξε μια λανθασμένη ρύθμιση στο Crowd
Το πρόβλημα ασφαλείας, CVE-2022-43782, αξιολογείται ως κρίσιμο και είναι μια λανθασμένη διαμόρφωση που επιτρέπει σε έναν εισβολέα να παρακάμψει τους ελέγχους κωδικού πρόσβασης για να πιστοποιηθεί ως εφαρμογή Crowd και να καλέσει τα API endpoints με αυξημένα προνόμια.
Το ζήτημα παρουσιάστηκε στην έκδοση 3.0 του προϊόντος και δεν επηρεάζει τις αναβαθμίσεις από προηγούμενες εκδόσεις, όπως η 2.9.1.
Η Atlassian εξηγεί ότι το exploit είναι δυνατό υπό ορισμένες προϋποθέσεις. Ένα από αυτά είναι μια αλλαγμένη διαμόρφωση απομακρυσμένης διεύθυνσης ώστε να περιλαμβάνει μια επιτρεπόμενη διεύθυνση IP, μια απόκλιση από την προεπιλεγμένη ρύθμιση (καμία).
“Εάν αξιοποιηθεί, αυτή η ευπάθεια θα επέτρεπε σε έναν εισβολέα να καλέσει endpoints στο REST API του Crowd κάτω από το user management path”, σημειώνει η Atlassian.
Το ζήτημα επηρεάζει τις εκδόσεις Crowd 3.0.0 έως 3.7.2, 4.0.0 έως 4.4.3 και 5.0.0 έως 5.0.2. Τα Crowd 5.0.3 και 4.4.4 δεν επηρεάζονται.
Επειδή η έκδοση 3.0.0 του προϊόντος της Atlassian έχει φτάσει στο τέλος του κύκλου ζωής της, η εταιρεία δεν θα αντιμετωπίσει το σφάλμα που ανακαλύφθηκε.
Αυτή η συμβουλευτική ασφαλείας παρέχει στους διαχειριστές λεπτομερείς οδηγίες σχετικά με το πώς να ελέγξουν αν ένα instance έχει παραβιαστεί και ποια βήματα πρέπει να ακολουθήσουν σε τέτοιες περιπτώσεις.
Δείτε επίσης: Phishing emails μιμούνται γνωστά brands και στοχεύουν Αμερικανούς
Λεπτομέρειες του ελαττώματος Bitbucket
Η έκδοση 7.0 του Bitbucket Server and Data Center εισήγαγε μια ευπάθεια command injection, που αναγνωρίστηκε ως CVE-2022-43781, η οποία επιτρέπει σε έναν εισβολέα με permission να ελέγχει το όνομα χρήστη του για να εκτελέσει κακόβουλο κώδικα, εφόσον πληρούνται συγκεκριμένες προϋποθέσεις.
Όλες οι εκδόσεις από 7.0 έως 7.21 επηρεάζονται ανεξάρτητα από το configuration τους, καθώς και οι εκδόσεις 8.0 έως 8.4 όπου η λειτουργία “mesh.enabled” είναι απενεργοποιημένη στο “bitbucket.properties”.
Το CVE-2022-43781 δεν επηρεάζει τα instances που εκτελούν το PostgreSQL και αυτές που γίνονται host από την Atlassian (προσβασιμότητα μέσω ενός domain bitbucket.org).
Αυτές οι εκδόσεις διορθώνουν το πρόβλημα:
- 7.6.19 ή νεότερη έκδοση
- 7.17.12 ή νεότερη έκδοση
- 7.21.6 ή νεότερη έκδοση
- 8.0.5 ή νεότερη έκδοση
- 8.1.5 ή νεότερη έκδοση
- 8.2.4 ή νεότερη έκδοση
- 8.3.3 ή νεότερη έκδοση
- 8.4.2 ή νεότερη έκδοση
- 8.5.0 ή νεότερη έκδοση
Εάν οι χρήστες δεν είναι σε θέση να αναβαθμίσουν, θα πρέπει να απενεργοποιήσουν το “Public Signup”. Η απενεργοποίηση αυτής της ρύθμισης θα άλλαζε το διάνυσμα επίθεσης από μια επίθεση χωρίς έλεγχο ταυτότητας σε μια επικυρωμένη που θα μείωνε τον κίνδυνο εκμετάλλευσης. Για να απενεργοποιήσετε αυτήν τη ρύθμιση, μεταβείτε στο Administration > Authentication και καταργήστε την επιλογή Allow public sign up.
Οι χρήστες με έλεγχο ταυτότητας ADMIN ή SYS_ADMIN εξακολουθούν να έχουν τη δυνατότητα να εκμεταλλευτούν την ευπάθεια όταν η δημόσια εγγραφή είναι απενεργοποιημένη. Για το λόγο αυτό, αυτός ο μετριασμός θα πρέπει να αντιμετωπίζεται ως ένα προσωρινό βήμα και συνιστάται στους πελάτες να κάνουν αναβάθμιση σε σταθερή έκδοση το συντομότερο δυνατό.
Πηγή πληροφοριών: bleepingcomputer.com
