8月間Atlassian Bitbucket被揭露有個風險值9.9的重大漏洞,本周美國政府資安主管機關警告用戶小心惡意活動。舊版軟體用戶將面臨無更新可下載的困境。
Bitbucket是一Git儲存庫管理及CI/CD平臺,可以代管服務或本地部署方式提供。8月底獨立安全研究人員@GrandPew揭露編號CVE-2022-36804漏洞,影響本地部署的Bitbucket Server及Data Center版本的漏洞。它是一個指令注入漏洞,發生在這2項軟體的多項API端點,可讓具備公開儲存庫或讀取私有Bitbucket權限的攻擊者,藉由傳送惡意HTTP呼叫開採,並執行任意程式碼。Atlassian將該漏洞風險等級列為9.9。
上周安全廠商Coalition發現本漏洞在9月20日起有濫用活動跡象,攻擊來源位於東南亞地區及美國。
而後美國網路安全暨基礎架構管理署(CISA)也更新已知遭濫用漏洞的清單,列入CVE-2022-36804,呼籲政府機關及企業組織應儘速修補。
本漏洞影響執行在Server及Data Center版6.10.17以後的執行個體。Atlassian已針對現在還支援的7.0.0到8.3.0版本釋出更新。但是6.10.17到7.0.0之間則處於曝險狀態,而且不會有修補程式。
CISA同時警告Exchange Server及Sophos防火牆也正遭受攻擊。遭開採的漏洞包括上周越南資安業者GTSC發現的Exchange Server「伺服器端請求偽造」漏洞(Server Side Request Forgery,SSRF)CVE-2022-41040、遠端程式碼執行(RCE)漏洞CVE-2022-41082,以及Sophos 防火牆程式碼注入漏洞CVE-2022-3236。
熱門新聞
2024-08-14
2024-12-20
2024-12-22
2024-12-23
2024-12-22