Les pirates exploitent activement la vulnérabilité critique du serveur Bitbucket dans leurs attaques, selon le CISA.
L'agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a ajouté une RCE du serveur Bitbucket et deux zero-days de Microsoft Exchange à sa liste de vulnérabilités exploitées.
La faille Bitbucket est une vulnérabilité critique dans le serveur et le centre de données Bitbucket d'Atlassian qui est suivie sous le nom de CVE-2022-36804.
Un code d'exploitation de type "proof of concept" est disponible publiquement pour cette vulnérabilité, ce qui pourrait inciter davantage de pirates à cibler cette faille.
L'exploitation de cette vulnérabilité via des requêtes HTTP malveillantes permet aux attaquants d'obtenir l'exécution de code à distance. Cette vulnérabilité affecte toutes les versions de Bitbucket Server et Data Center postérieures à 6.10.17, y compris 7.0.0 et jusqu'à 8.3.0. Selon les chercheurs en sécurité de BinaryEdge et GreyNoise, les attaquants ont commencé à chercher la vulnérabilité depuis le 20 septembre pour l'exploiter.
Les deux autres vulnérabilités ajoutées à la liste des vulnérabilités exploitées du CISA sont les deux zero-days de Microsoft Exchange (CVE-2022-41040 et CVE-2022-41082) exploités dans des attaques ciblées limitées. Bien que la société n'ait pas encore publié de mises à jour de sécurité pour corriger les bogues exploités, elle exhorte ses clients à ajouter une règle de blocage du serveur IIS qui bloquerait les tentatives d'attaque.
La CISA a demandé à toutes les agences fédérales civiles de l'exécutif (FCEB) d'appliquer des correctifs ou des mesures d'atténuation pour les trois bogues activement exploités. Les agences fédérales ont eu trois semaines, jusqu'au 21 octobre, pour s'assurer que les tentatives d'exploitation étaient bloquées.
Étant donné que l'application de correctifs appropriés et en temps opportun contribuera à réduire la portée des attaques potentielles, l'Agence américaine de cybersécurité a exhorté toutes les organisations privées et publiques du monde entier à accorder la priorité à l'application de correctifs à ces vulnérabilités, même si le BOD 22-01 ne s'applique qu'aux agences FCEB des États-Unis.
Les sources de cet article comprennent un article de BleepingComputer.