Un bogue dangereux dans le serveur et le centre de données Atlassian Bitbucket peut donner aux attaquants un libre accès, leur permettant d’exécuter des logiciels malveillants ou de supprimer des données.
Atlassian a publié un correctif pour les versions 7.0.0 et 8.3.0 et ultérieures de Bitbucket. Il corrige un bogue portant le nom CVE-2022-36804. La vulnérabilité a reçu un score de 9,9 et est donc extrêmement critique. Avec raison : la fuite dans, entre autres, Atlassian Bitbucket Server et Data Center, permet aux attaquants d’obtenir un accès complet et ainsi d’exécuter des logiciels malveillants, de consulter du code, de le supprimer ou de le modifier à leur guise.
Un simple abus
Il est suffisant pour un attaquant d’avoir un accès à lecture seule à un référentiel public ou privé pour commencer. Il peut même être fait via une requête HTTP malveillante. Le bogue est donc assez facile à exploiter. Il faut donc absolument ne pas tarder à installer le correctif. En cas de difficulté à appliquer un correctif immédiatement, Atlassian recommande de désactiver au moins temporairement les référentiels publics. Les attaquants disposant d’un compte peuvent toujours intervenir, mais le risque est légèrement réduit.
Le Center for Internet Security a souligné dans son analyse des risques que le bogue présente un risque élevé pour les institutions gouvernementales et les entreprises, grandes et petites. Ceux qui ont configuré des nœuds Bitbucket Mesh doivent également les mettre à jour. Atlassian a publié une matrice de compatibilité afin que vous puissiez trouver rapidement la bonne version.