Atlassian Bitbucket重大風險漏洞遭駭客濫用

8月間Atlassian Bitbucket被揭露有個風險值9.9的重大漏洞，本周美國政府資安主管機關警告用戶小心惡意活動。舊版軟體用戶將面臨無更新可下載的困境。

Bitbucket是一Git儲存庫管理及CI/CD平臺，可以代管服務或本地部署方式提供。8月底獨立安全研究人員@GrandPew揭露編號CVE-2022-36804漏洞，影響本地部署的Bitbucket Server及Data Center版本的漏洞。它是一個指令注入漏洞，發生在這2項軟體的多項API端點，可讓具備公開儲存庫或讀取私有Bitbucket權限的攻擊者，藉由傳送惡意HTTP呼叫開採，並執行任意程式碼。Atlassian將該漏洞風險等級列為9.9。

上周安全廠商Coalition發現本漏洞在9月20日起有濫用活動跡象，攻擊來源位於東南亞地區及美國。

而後美國網路安全暨基礎架構管理署（CISA）也更新已知遭濫用漏洞的清單，列入CVE-2022-36804，呼籲政府機關及企業組織應儘速修補。

本漏洞影響執行在Server及Data Center版6.10.17以後的執行個體。Atlassian已針對現在還支援的7.0.0到8.3.0版本釋出更新。但是6.10.17到7.0.0之間則處於曝險狀態，而且不會有修補程式。

CISA同時警告Exchange Server及Sophos防火牆也正遭受攻擊。遭開採的漏洞包括上周越南資安業者GTSC發現的Exchange Server「伺服器端請求偽造」漏洞（Server Side Request Forgery，SSRF）CVE-2022-41040、遠端程式碼執行（RCE）漏洞CVE-2022-41082，以及Sophos 防火牆程式碼注入漏洞CVE-2022-3236。