Atlassian telah merilis pembaruan untuk menangani pembaruan dengan tingkat keparahan kritis di platform manajemen identitas terpusatnya, Crowd Server dan Pusat Data, dan di Server Bitbucket dan Pusat Data, solusi perusahaan untuk manajemen repositori Git.
Kedua kerentanan keamanan menerima peringkat keparahan 9 dari 10 (dihitung oleh Atlassian) dan memengaruhi beberapa versi produk.
Kesalahan konfigurasi di Crowd
Dinilai kritis, masalah di Server Crowd dan Pusat Data dilacak sebagai CVE-2022-43782 dan merupakan kesalahan konfigurasi yang memungkinkan penyerang melewati pemeriksaan kata sandi saat mengautentikasi sebagai aplikasi Crowd dan untuk memanggil titik akhir API istimewa.
Masalah ini diperkenalkan pada produk versi 3.0 dan tidak memengaruhi pemutakhiran dari versi sebelumnya, seperti 2.9.1.
Atlassian menjelaskan bahwa eksploitasi dimungkinkan dalam kondisi tertentu. Salah satunya adalah konfigurasi Alamat Jarak Jauh yang diubah untuk memasukkan alamat IP yang diizinkan, penyimpangan dari pengaturan default (tidak ada).
“Ini akan memungkinkan penyerang untuk memanggil titik akhir istimewa di REST API Crowd di bawah jalur manajemen pengguna,” catat Atlassian dalam sebuah penasehat keamanan.
Masalah ini berdampak pada Crowd versi 3.0.0 hingga 3.7.2, 4.0.0 hingga 4.4.3, dan 5.0.0 hingga 5.0.2. Crowd 5.0.3 dan 4.4.4 tidak terpengaruh.
Atlassian tidak akan memperbaiki cacat pada versi 3.0.0 produk karena telah mencapai akhir masa pakai dan dukungan.
Penasihat keamanan memberikan instruksi terperinci bagi administrator untuk memeriksa apakah instans telah disusupi dan langkah-langkah yang harus diikuti dalam kasus tersebut.
Detail cacat bitbucket
Cacat yang mempengaruhi Server Bitbucket dan Pusat Data diperkenalkan di versi 7.0 produk dan diidentifikasi sebagai CVE-2022-43781. Ini adalah kerentanan injeksi perintah yang memungkinkan penyerang dengan izin untuk mengontrol nama pengguna mereka untuk mendapatkan eksekusi kode pada sistem target dalam kondisi tertentu.
Semua versi dari 7.0 hingga 7.21 terpengaruh terlepas dari konfigurasinya serta versi 8.0 hingga 8.4 di mana fungsi “mesh.enabled” dinonaktifkan di bawah “bitbucket.properties.”
CVE-2022-43781 tidak memengaruhi instans yang menjalankan PostgreSQL dan yang dihosting oleh Atlassian (diakses melalui domain bitbucket.org).
Versi yang memperbaiki masalah adalah:
- 7.6.19 atau lebih baru
- 7.17.12 atau lebih baru
- 7.21.6 atau lebih baru
- 8.0.5 atau lebih baru
- 8.1.5 atau lebih baru
- 8.2.4 atau lebih baru
- 8.3.3 atau lebih baru
- 8.4.2 atau lebih baru
- 8.5.0 atau lebih baru
Pengguna yang tidak dapat memutakhirkan ke versi tetap harus menonaktifkan “Pendaftaran Publik”, yang mengharuskan penyerang mengautentikasi menggunakan kredensial yang valid, yang mengurangi risiko eksploitasi.
Itu penasehat keamanan mencatat bahwa pengguna ADMIN dan SYS_ADMIN masih dapat mengeksploitasi kelemahan di bawah konfigurasi ini, sehingga harus diperlakukan sebagai tindakan mitigasi sementara.
