Vulnerabilidad de ejecución remota de código (RCE) en productos Atlassian

---

28/03/2022

Se ha detectado una vulnerabilidad crítica en los productos Bitbucket Data Center y Confluence Data Center de Atlassian, que permitiría a un atacante remoto no autenticado, provocar una ejecución remota de código (RCE) en el software afectado.

La vulnerabilidad CVE-2016-10750 posee una severidad crítica acorde al análisis de Atlassian. Esta se debe a un código vulnerable a ataques del tipo Java Deserialization (deserialización de Java) en el componente “JoinRequest” del software de tercero Hazelcast utilizado por Bitbucket Data Center y Confluence Data Center. Esto permitiría a un atacante a través de peticiones especialmente diseñadas realizar ejecución remota de código (RCE) en el software afectado.

Las versiones afectadas de Bitbucket Data Center (se ven afectadas sus instalaciones de uno o varios nodos, independientemente de su agrupación o no en clústeres) son:

• Versiones 5.x mayores o iguales a 5.14.x
• Todas las versiones 6.x
• Versiones 7.x menores a 7.6.14
• Versiones 7.7.x hasta 7.16.x
• Versiones 7.17.x menores a 7.17.6
• Versiones 7.18.x menores a 7.18.4
• Versiones 7.19.x menores a 7.19.4
• Versión 7.20.0

Las versiones afectadas de Confluence Data Center (sólo en sus instalaciones agrupadas en clústeres) son:

• Todas las versiones 5.6.x y posteriores

Para verificar si se encuentran activados los clústeres, es necesario verificar si se encuentra presente la siguiente línea en el archivo confluence.cfg.xml en el directorio raíz Confluence:

<property name="confluence.cluster">true</property>

Recomendamos instalar la actualización correspondiente a la vulnerabilidad crítica, mediante el siguiente enlace para Bitbucket Data Center:

• https://confluence.atlassian.com/bitbucketserver/bitbucket-server-upgrade-guide-776640551.html

Adicionalmente, debido a que Atlassian aún no ha subsanado esta vulnerabilidad para Confluence Data Center recomendamos una posible mitigación a través de la restricción del acceso al ‎‎puerto Hazelcast‎‎ mediante un firewall u otros controles de acceso a la red. El puerto solo necesita ser accesible para otros nodos en el clúster de Bitbucket (puerto 5701) o Confluence (puertos 5701 y 5801).‎

Referencias:

• https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/vulnerabilidad-rce-productos-atlassian
• https://confluence.atlassian.com/security/multiple-products-security-advisory-hazelcast-vulnerable-to-remote-code-execution-cve-2016-10750-1116292387.html
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-10750