Esta semana Atlassian emitió un reporte de seguridad en el que anunciaban la corrección de CVE-2022-26133, una vulnerabilidad de ejecución de código en Atlassian Bitbucket Data Center, una plataforma de colaboración de código lanzada que admite la revisión de código, la gestión de permisos de sucursales, CICD y otras funciones.
En su alerta, Atlassian señala que varios de sus productos utilizan el software de terceros Hazelcast, que es vulnerable a los ataques de deserialización de Java; estos productos utilizan Hazelcast cuando están configurados para su ejecución como clúster. La vulnerabilidad existe debido a un error de deserialización porque la interfaz Hazelcast en Atlassian Bitbucket Data Center no filtra los datos ingresados por el usuario como debería.
Los actores de amenazas no autenticados podrían explotar esta falla enviando solicitudes especialmente diseñadas, lo que llevaría a la ejecución de código arbitrario. La falla solo reside en implementaciones Atlassian Data Centers instaladas en modo clúster y se considera un error de seguridad de nivel crítico.
Según el reporte, las siguientes versiones de Bitbucket Data Center se ven afectadas:
- Todas las versiones >= 5.14.x
- Todas las versiones 6.x
- Todas las versiones 7.x < 7.6.14
- Todas las versiones de 7.7.x a 7.16.x
- 7.17.x <7.17.6
- 7.18.x <7.18.4
- 7.19.x <7.19.4
- 7.20.0
Atlassian señaló que Bitbucket Server y Bitbucket Cloud no se ven afectados.
Los equipos de seguridad de la compañía lanzaron la versión actualizada de Bitbucket Data Center después de reparar abordar el error. Si los usuarios no pueden aplicar las actualizaciones, Atlassian recomienda restringir el acceso al puerto Hazelcast mediante el uso de un firewall u otros controles de acceso a la red como solución alternativa. Además, el puerto solo debe ser accesible para otros nodos en el clúster de Bitbucket o Confluence; recuerde que para Bitbucket Data Center, Hazelcast usa el puerto TCP 5701 de forma predeterminada.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
