Jetzt patchen! Attacken auf Atlassian Bitbucket Server

Angreifer nutzen derzeit eine als „kritisch“ eingestufte Sicherheitslücke in Atlassian Bitbucket Server aus. Die Lücke betrifft auch Bitbucket Data Center. Der Cloud-Zugriff via bitbucket.org ist von der Schwachstelle nicht betroffen. In welchem Umfang die Attacken stattfinden, ist derzeit nicht bekannt.

Schadcode-Attacken

Über den Onlinedienst Bitbucket können Softwareentwickler die Versionsverwaltung ihrer Software-Projekte realisieren. Sind Attacken erfolgreich, könnten Angreifer Schadcode auf Systeme schieben und ausführen. Klappen solche Angriffe, gelten Systeme in der Regel als vollständig kompromittiert. Vor den Attacken warnen Sicherheitsforscher etwa auf Twitter. Auch die US-Sicherheitsbehörde Cybersecurity & Infrastructure Agency (CISA) rät Admins dazu, die Schwachstelle (CVE-2022-36804) zügig zu schließen.

Die Lücke ist seit Ende August 2022 bekannt. Als Voraussetzung für Attacken benötigen Angreifer Zugriff auf ein öffentliches Bitbucket Repository. Ist das gegeben, könnten sie Attacken durch das Versenden von präparierten HTTP-Anfragen einleiten. Angriffe sind ab den Versionen 6.10.17 von Bitbucket Server und Bitbucket Data Center möglich. Diese Versionen sind gegen die Attacken abgesichert:

• Bitbucket Server und Bitbucket Data Center ab 7.6.17 (LTS)
• Bitbucket Server und Bitbucket Data Center ab 7.17.10 (LTS)
• Bitbucket Server und Bitbucket Data Center ab 7.21.4 (LTS)
• Bitbucket Server und Bitbucket Data Center ab 8.0.3
• Bitbucket Server und Bitbucket Data Center ab 8.1.3
• Bitbucket Server und Bitbucket Data Center ab 8.2.2
• Bitbucket Server und Bitbucket Data Center ab 8.3.1

Ist eine Installation des Sicherheitsupdates nicht sofort möglich, sollten Admins den Zugriff auf öffentliche Repositorys über feature.public.access=false sperren, bis sie den Sicherheitspatch installieren können.

(des)