Cisa WARNS黑客利用关键的艾特莱森软件Bitbucket服务器漏洞

美国网络安全和基础设施安全局( CISA )上周五在已知的被利用漏洞( KEV )目录中增加了最近披露的影响艾特莱森软件的Bitbucket服务器和数据中心的关键缺陷，列举了积极利用的证据。

该问题被跟踪为CVE – 2022 – 36804，涉及一个命令注入漏洞，该漏洞允许恶意行为者通过发送巧尽心思构建的HTTP请求在易受攻击的安装上获得任意代码执行。

成功利用此漏洞的前提是攻击者已经具有对公共存储库的访问权限或拥有对私有Bitbucket存储库的读取权限。

艾特莱森软件在2022年8月下旬的一份公告中指出，”在6.10 . 17之后发布的所有版本的Bitbucket Server和资料处理中心，包括7.0 . 0和更新版本，都会受到影响，这意味着所有运行在7.0 . 0和8.3 . 0之间的任何版本的实例都会受到该漏洞的影响”。

  CISA没有提供进一步的细节来说明缺陷是如何被利用的，以及开发工作的广泛程度，但GreyNoise说，它在9月20日和23日发现了公开平台的证据。

作为应对措施，所有联邦民事行政部门( FCEB )机构都必须在2022年10月21日之前修复漏洞，以保护网络免受攻击威胁。