Een gevaarlijke bug in Atlassian Bitbucket Server en Data Center kan aanvallers volledige toegang geven, waarna ze malware kunnen uitvoeren of data kunnen verwijderen.
Atlassian heeft een patch uitgebracht voor versies 7.0.0 en 8.3.0 en recenter van Bitbucket. Die verhelpt een bug met het label CVE-2022-36804. De kwetsbaarheid krijgt een score van 9,9 mee en is zo uitermate kritiek. Met reden: het lek in onder andere Atlassian Bitbucket Server en Data Center laag aanvallers toe om complete toegang te verwerven en zo malware uit te voeren, code te bekijken, te verwijderen, of naar wens aan te passen.
Eenvoudig misbruik
Het volstaat voor een aanvaller om leestoegang te hebben tot een publiek of privaat repository om aan de slag te gaan. Dat gaat zelfs gewoon via een kwaadaardig HTTP-request. De bug is dus vrij eenvoudig te misbruiken, waardoor je absoluut niet mag wachten met de installatie van een patch. Lukt het toch niet om meteen te patchen, dan raadt Atlassian je aan om minstens publieke repositories tijdelijk uit te schakelen. Aanvallers met een account kunnen dan nog steeds hun gang gaan, maar het risico wordt toch enigszins ingeperkt.
Het Center for Internet Security heeft in zijn risicoanalyse aangestipt dat de bug een hoog risico inhoudt voor overheidsinstellingen en bedrijven groot en klein. Wie Bitbucket Mesh-nodes heeft geconfigureerd, moet die ook updaten. Atlassian heeft een compatibiliteitsmatrix gepubliceerd zodat het snel de juiste versie kan vinden.