Se ha detectado una vulnerabilidad crítica en los productos Bitbucket Data Center y Confluence Data Center de Atlassian, que permitiría a un atacante remoto no autenticado, provocar una ejecución remota de código (RCE) en el software afectado.
La vulnerabilidad CVE-2016-10750 posee una severidad crítica acorde al análisis de Atlassian. Esta se debe a un código vulnerable a ataques del tipo Java Deserialization (deserialización de Java) en el componente “JoinRequest” del software de tercero Hazelcast utilizado por Bitbucket Data Center y Confluence Data Center. Esto permitiría a un atacante a través de peticiones especialmente diseñadas realizar ejecución remota de código (RCE) en el software afectado.
Las versiones afectadas de Bitbucket Data Center (se ven afectadas sus instalaciones de uno o varios nodos, independientemente de su agrupación o no en clústeres) son:
- Versiones 5.x mayores o iguales a 5.14.x
- Todas las versiones 6.x
- Versiones 7.x menores a 7.6.14
- Versiones 7.7.x hasta 7.16.x
- Versiones 7.17.x menores a 7.17.6
- Versiones 7.18.x menores a 7.18.4
- Versiones 7.19.x menores a 7.19.4
- Versión 7.20.0
Las versiones afectadas de Confluence Data Center (sólo en sus instalaciones agrupadas en clústeres) son:
- Todas las versiones 5.6.x y posteriores
Para verificar si se encuentran activados los clústeres, es necesario verificar si se encuentra presente la siguiente línea en el archivo confluence.cfg.xml en el directorio raíz Confluence:
<property name=»confluence.cluster«>true</property>
Recomendamos instalar la actualización correspondiente a la vulnerabilidad crítica, mediante el siguiente enlace para Bitbucket Data Center:
Adicionalmente, debido a que Atlassian aún no ha subsanado esta vulnerabilidad para Confluence Data Center recomendamos una posible mitigación a través de la restricción del acceso al puerto Hazelcast mediante un firewall u otros controles de acceso a la red. El puerto solo necesita ser accesible para otros nodos en el clúster de Bitbucket (puerto 5701) o Confluence (puertos 5701 y 5801).
Referencias:
- https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/vulnerabilidad-rce-productos-atlassian
- https://confluence.atlassian.com/security/multiple-products-security-advisory-hazelcast-vulnerable-to-remote-code-execution-cve-2016-10750-1116292387.html
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-10750