Atlassian Releases Patches for Critical Flaws Affecting Crowd and Bitbucket Products
2022/11/19 TheHackerNews — Atlassian は、Bitbucket Server/Data Center/Crowd 製品群に影響を及ぼす、2つの深刻な脆弱性に対してセキュリティ・アップデートを適用した。この脆弱性 CVE-2022-43781/CVE-2022-43782 の CVSS 値は、いずれも 9.0 と評価されている。
Atlassian によると、CVE-2022-43781 Bitbucket Server/Data Center の Ver 7.0.0 以降で発生しており、Ver 7.0〜7.21 および Ver 8.0〜8.4 (bitbucket.properties で mesh.enabled を false に設定した場合のみ) に影響を及ぼすとされる。
この脆弱性は、ソフトウェア内の環境変数を介したコマンド・インジェクションのケースと説明されており、ユーザー名を制御する権限を持つ敵対者に対して、脆弱なシステム上でコード実行を許す可能性があるとのことだ。
同社はユーザーに対して、一時的な回避策として “Public Signup” オプション (Administration > Authentication) を OFF にすることを推奨している。
Atlassian のアドバイザリには、「Public Signup を無効にすると、攻撃ベクターが認証を必要とするものに変わり、悪用されるリスクが減少する。ただし、ADMIN/SYS_ADMIN として認証されたユーザーは、Public Signup が無効な場合でも、この脆弱性を悪用する能力を有する」と記されている。
2つ目の脆弱性 CVE-2022-43782 は、Crowd Server/Data Center のミスコンフィグレーションに関するもので、攻撃者に対して特権 API エンドポイントの呼び出しを許すものだ。ただし、Remote Address コンフィグレーションに追加した IP アドレスから、脅威アクターが接続しているシナリオに限られるとのことだ。
この脆弱性は、内部セキュリティ・レビューで発見され、Crowd 3.0.0 以降の新規インストールに影響する。つまり、Crowd 3.0.0 以前のバージョンからアップグレードした環境には、この脆弱性は存在しない。
Atlassian と Bitbucket の脆弱性が、野放し状態で活発に悪用されるのは珍しいことではないため、可能な限り迅速にパッチ適用することが、ユーザーにとって不可欠となる。先月に米国の CISA は、Bitbucket Server/Data Center に存在するコマンド・インジェクションの脆弱性 CVE-2022-36804 (CVSS:9.9) が、2022年9月末以降の攻撃で武器化されていると警告している。
文中にもあるように、Atlassian の脆弱性が悪用されるケースが多いので、注意が必要だと思います。最近のインシデントとしては、7月28日の「Atlassian Confluence のパスワード・ハードコードの脆弱性:すでに悪用が始まっている」や、8月26日の「Atlassian Bitbucket Server の深刻な RCE 脆弱性:PoC エクスプロイトの前にパッチ適用を!」、10月25日の「Atlassian Jira Align の脆弱性:クラウド・インフラの一部を制御される可能性」などが報告されていますので、よろしければ、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.