Atlassian の深刻な脆弱性が FIX：Bitbucket Server／Data Center／Crowd に影響

Atlassian Releases Patches for Critical Flaws Affecting Crowd and Bitbucket Products

2022/11/19 TheHackerNews — Atlassian は、Bitbucket Server／Data Center／Crowd 製品群に影響を及ぼす、２つの深刻な脆弱性に対してセキュリティ・アップデートを適用した。この脆弱性 CVE-2022-43781／CVE-2022-43782 の CVSS 値は、いずれも 9.0 と評価されている。

Atlassian によると、CVE-2022-43781 Bitbucket Server／Data Center の Ver 7.0.0 以降で発生しており、Ver 7.0〜7.21 および Ver 8.0〜8.4 (bitbucket.properties で mesh.enabled を false に設定した場合のみ) に影響を及ぼすとされる。

この脆弱性は、ソフトウェア内の環境変数を介したコマンド・インジェクションのケースと説明されており、ユーザー名を制御する権限を持つ敵対者に対して、脆弱なシステム上でコード実行を許す可能性があるとのことだ。

同社はユーザーに対して、一時的な回避策として “Public Signup” オプション (Administration > Authentication) を OFF にすることを推奨している。

Atlassian のアドバイザリには、「Public Signup を無効にすると、攻撃ベクターが認証を必要とするものに変わり、悪用されるリスクが減少する。ただし、ADMIN／SYS_ADMIN として認証されたユーザーは、Public Signup が無効な場合でも、この脆弱性を悪用する能力を有する」と記されている。

２つ目の脆弱性 CVE-2022-43782 は、Crowd Server／Data Center のミスコンフィグレーションに関するもので、攻撃者に対して特権 API エンドポイントの呼び出しを許すものだ。ただし、Remote Address コンフィグレーションに追加した IP アドレスから、脅威アクターが接続しているシナリオに限られるとのことだ。

この脆弱性は、内部セキュリティ・レビューで発見され、Crowd 3.0.0 以降の新規インストールに影響する。つまり、Crowd 3.0.0 以前のバージョンからアップグレードした環境には、この脆弱性は存在しない。

Atlassian と Bitbucket の脆弱性が、野放し状態で活発に悪用されるのは珍しいことではないため、可能な限り迅速にパッチ適用することが、ユーザーにとって不可欠となる。先月に米国の CISA は、Bitbucket Server／Data Center に存在するコマンド・インジェクションの脆弱性 CVE-2022-36804 (CVSS：9.9) が、2022年9月末以降の攻撃で武器化されていると警告している。

文中にもあるように、Atlassian の脆弱性が悪用されるケースが多いので、注意が必要だと思います。最近のインシデントとしては、7月28日の「Atlassian Confluence のパスワード・ハードコードの脆弱性：すでに悪用が始まっている」や、8月26日の「Atlassian Bitbucket Server の深刻な RCE 脆弱性：PoC エクスプロイトの前にパッチ適用を！」、10月25日の「Atlassian Jira Align の脆弱性：クラウド・インフラの一部を制御される可能性」などが報告されていますので、よろしければ、ご参照ください。