最終更新日時: Tue, 20 Sep 2022 21:46:57 GMT
2022年8月24日、アトラシアンはBitbucket ServerおよびData Center向けのアドバイザリを公開し、CVE-2022-36804について注意を促しています。このアドバイザリでは、複数のAPIエンドポイントにコマンドインジェクションの脆弱性があり、公開リポジトリにアクセスできる攻撃者、またはプライベートなBitbucketリポジトリに読み取り権限を持つ攻撃者が、悪意のあるHTTPリクエストを送信することで任意のコードを実行できることが明らかにされています。
CVE-2022-36804 は、CVSSv3 スコアが 9.8 であり、簡単に悪用される可能性があります。Rapid7の脆弱性調査チームは、AttackerKBで、CVE-2022-36804を使用して簡単なリバースシェルを作成する方法など、完全な技術的分析を行っています。
Shodanによると、インターネットに接続されているサーバーは約1,400台ありますが、どれだけのサーバーがパブリックリポジトリを持っているかはすぐにはわかりません。2022年9月20日現在、野放しになっ��いる悪用の報告はありませんが、研究者やエクスプロイト・ブローカーからのこの脆弱性に対する関心は高く、現在複数のエクスプロイトが公開されています。本脆弱性は非常に悪用しやすく、パッチもリバースエンジニアリングが比較的容易なため、すでに標的型の悪用が発生している可能性があります。今後、CVE-2022-36804を悪用した大規模な攻撃が行われることが予想されます。
影響を受ける製品
Bitbucket Server and Data Center 7.6 7.6.17 以前
Bitbucket Server and Data Center 7.17 7.17.10 以前
Bitbucket Server and Data Center 7.21 7.21.4 以前
Bitbucket Server and Data Center 8.0 8.0.3 以前
Bitbucket Server and Data Center 8.1 8.1.3 以前
Bitbucket Server and Data Center 8.2 8.2.2 以前
Bitbucket Server and Data Center 8.3 8.3.1 以前
緩和ガイダンス
Bitbucket Server と Data Center を環境で使用している組織は、通常のパッチサイクルが発生するのを待たずに、アトラシアンのガイドを使用してできるだけ迅速にパッチを適用する必要があります。Bitbucket へのネットワークアクセスをブロックすることも一時的な応急処置として機能するかもしれませんが、これはパッチの代わりとなるものではありません。
Rapid7のお客様への対応
InsightVMおよびNexposeのお客様は、2022年9月20日にリリースされたコンテンツ(ContentOnly-content-1.1.2653-2022092050)の未認証脆弱性チェックにより、CVE-2022-36804への曝露状況を評価することが可能です。
本ブログは英語ブログ、"CVE-2022-36804: Easily Exploitable Vulnerability in Atlassian Bitbucket Server and Data Center"の機械翻訳に基づいています。最新情報は英語版ブログをご参照ください