Aufgrund einer kritischen Schwachstelle im Bitbucket Server und Data Center rät Atlassian Betroffenen dringend Updates einzuspielen.
Eine schwerwiegende Sicherheitslücke im Bitbucket Server und Data Center von Atlassian erlaubt die Ausführung von beliebigem Code aus der Ferne. Dadurch können Angreifer nicht nur Malware einschleusen, sondern auch in Repositorys gespeicherte Daten auslesen, ändern und löschen. Bisher ist kein Fall bekannt, in dem die Sicherheitslücke aktiv ausgenutzt wurde.
Ein Bitbucket-Patch steht bereit – das Update ist anzuraten
Der Twitter-User @TheGrandPew entdeckte und meldete die Schwachstelle im Bitbucket Server und Data Center bereits im Juli – und kassierte dafür eine Belohnung vom Entwickler.
Einen Patch hat Atlassian mittlerweile bereitgestellt und Anwender sollten betroffene Softwarepakete zeitnah aktualisieren. Denn mit einem CVSS-Score von 9,9 ist die Sicherheitslücke CVE-2022-36804 tatsächlich sehr kritisch. Betroffen sind alle Bitbucket Server und Data Center Versionen von 7.0.0 bis 8.3.0.
„Ein Angreifer mit Zugriff auf ein öffentliches Bitbucket-Repository oder mit Leserechten für ein privates Repository kann beliebigen Code ausführen, indem er eine bösartige HTTP-Anfrage sendet.“
Atlassian
Auch das Center for Internet Security (CIS) bestätigt das hohe Sicherheitsrisiko. Es warnt insbesondere Unternehmen und Regierungsbehörden, da diese Bitbucket häufig als Quellcodeverwaltung für ihre eigenen Projekte einsetzen.
Betreiber von Bitbucket Mesh-Knoten sind ebenfalls dazu angehalten, ein Update auf eine neue Mesh-Version durchzuführen. Um die Kompatibilität zum Bitbucket Data Center sicherzustellen, ist eine Überprüfung der jeweiligen Version über die von Atlassian bereitgestellte Kompatibilitätsmatrix anzuraten.
Wer aktuell kein Bitbucket-Update ausführen kann, ist dazu angehalten, zumindest öffentliche Repositorys zu deaktivieren, um die Angriffsfläche vorübergehend zu verkleinern. Dies bietet jedoch keinen vollumfänglichen Schutz vor der Ausnutzung der Schwachstelle, sofern Angreifer sich Zugriff auf ein Benutzerkonto mit Zugriffsrechten auf das Repository verschaffen können.
Auch die besten Entwickler kochen nur mit Wasser
Und sie bauen manchmal, sicherlich unbeabsichtigt, Sicherheitslücken in ihre Softwareprodukte ein. Je nachdem, welche Software dies betrifft, sind die Auswirkungen mal brisanter und mal weniger brisant. Mal trifft es eher Unternehmen, mal eher Privatpersonen.
Während wir erst kürzlich von Schwachstellen in Funk-Türschlössern und Notebook-Betriebssystemen berichteten, von denen sicherlich eher Privatpersonen betroffen sind, macht der Fall von Bitbucket tendenziell eher Unternehmen und Behörden zur Zielscheibe potenzieller Angriffe.