Atlassian Bitbucket Data Center远程代码执行漏洞(CVE-2022-26133)通告 POC已公布

【发布时间：2022-07-06】

漏洞综述

漏洞背景

Atlassian Bitbucket Server是一款Git代码托管解决方案。该方案能够管理并审查代码，具有差异视图、JIRA集成和构建集成等功能。Atlassian Bitbucket Data Center是Atlassian Bitbucket的数据中心版本。近日，新华三攻防实验室威胁预警团队监测到Atlassian官方发布了安全公告，修复了Atlassian Bitbucket Data Center中的一个远程代码执行漏洞(CVE-2022-26133)。该漏洞利用方式简单，影响范围较大，且该漏洞的利用细节已公开，建议受影响用户尽快安装更新补丁，避免受到影响。

漏洞原理

Bitbucket Data Center 利用 Hazelcast进行内存数据缓存，默认情况下5701端口用于 Hazelcast，由于Hazelcast接口未能正确过滤用户发送的请求数据，恶意攻击者通过将特制的恶意请求发送至Hazelcast 端口，Bitbucket 会使用数据中心实例的集群名称进行响应，如果此集群名称附加了带有恶意命令的序列化有效负载并再次发送到 Hazelcast 端口，则有效负载在集群节点处反序列化，从而导致节点上的远程代码执行。

影响范围

Atlassian Bitbucket Data Center >= 5.14.x

Atlassian Bitbucket Data Center 6.x

Atlassian Bitbucket Data Center < 7.6.14

Atlassian Bitbucket Data Center < 7.16.x

Atlassian Bitbucket Data Center 7.17.6

Atlassian Bitbucket Data Center < 7.18.4

Atlassian Bitbucket Data Center < 7.19.4

Atlassian Bitbucket Data Center 7.20.0

漏洞等级：严重 CVSS：10.0

处置方法

官方补丁

目前官方已发布更新补丁，请受影响用户及时安装更新补丁，官方链接：

https://www.atlassian.com/software/bitbucket/download-archives

新华三解决方案

1、新华三安全设备防护方案

新华三IPS规则库将在1.0.179版本支持对该漏洞的识别，H3C全系安全产品可通过升级IPS特征库识别该漏洞的攻击流量，并进行主动拦截。

2、态势感知产品解决方案

新华三态势感知产品已支持该漏洞的检测，通过信息搜集整合、数据关联分析等综合研判手段，发现网络中遭受该漏洞攻击及失陷的资产。

3、新华三云安全能力中心解决方案

新华三云安全能力中心知识库已更新该漏洞信息，可查询对应漏洞产生原理、升级补丁、修复措施等。

参考链接

https://confluence.atlassian.com/security/multiple-products-security-advisory-hazelcast-vulnerable-to-remote-code-execution-cve-2016-10750-1116292387.html