8月間Atlassian Bitbucket被揭露有個風險值9.9的重大漏洞,本周美國政府資安主管機關警告用戶小心惡意活動。舊版軟體用戶將面臨無更新可下載的困境。

Bitbucket是一Git儲存庫管理及CI/CD平臺,可以代管服務或本地部署方式提供。8月底獨立安全研究人員@GrandPew揭露編號CVE-2022-36804漏洞,影響本地部署的Bitbucket Server及Data Center版本的漏洞。它是一個指令注入漏洞,發生在這2項軟體的多項API端點,可讓具備公開儲存庫或讀取私有Bitbucket權限的攻擊者,藉由傳送惡意HTTP呼叫開採,並執行任意程式碼。Atlassian將該漏洞風險等級列為9.9。

上周安全廠商Coalition發現本漏洞在9月20日起有濫用活動跡象,攻擊來源位於東南亞地區及美國。

而後美國網路安全暨基礎架構管理署(CISA)也更新已知遭濫用漏洞的清單,列入CVE-2022-36804,呼籲政府機關及企業組織應儘速修補。

本漏洞影響執行在Server及Data Center版6.10.17以後的執行個體。Atlassian已針對現在還支援的7.0.0到8.3.0版本釋出更新。但是6.10.17到7.0.0之間則處於曝險狀態,而且不會有修補程式。

CISA同時警告Exchange Server及Sophos防火牆也正遭受攻擊。遭開採的漏洞包括上周越南資安業者GTSC發現的Exchange Server「伺服器端請求偽造」漏洞(Server Side Request Forgery,SSRF)CVE-2022-41040、遠端程式碼執行(RCE)漏洞CVE-2022-41082,以及Sophos 防火牆程式碼注入漏洞CVE-2022-3236

熱門新聞

Advertisement