Vulnerabilidad RCE en productos Altassian (CVE-2016-10750)

ANÁLISIS

En este caso los productos de Atlassian afectados utilizaban el software Hazelcast (Un DataGrid hecho en Java). Hazelcast es vulnerable a un ataque de deserialización en Java, lo que permite a un atacante sin autenticar enviar solicitudes JoinRequest y de esta manera ejecutar código arbitrario. [1]

Versiones afectadas:

•     Bitbucket Data Center >= 5.14.0
•     Bitbucket Data Center >= 6.0
•     Bitbucket Data Center < 7.6.14
•     Bitbucket Data Center 7.7.x - 7.16.x
•     Bitbucket Data Center 7.17.0 - 7.17.5
•     Bitbucket Data Center 7.18.0 - 7.18.3
•     Bitbucket Data Center 7.19.0 - 7.19.3
•     Bitbucket Data Center 7.20.0
•     Confluence Data Center >= 5.6.0 **

** Confluence Data Center únicamente es vulnerable si no se encuentra instalado como cluster.

La vulnerabilidad tiene una puntuación CVSS v3 de 8.1, por lo que se considera de severidad alta. [2] 
No hay prueba de concepto disponible.

RECOMENDACIONES

Actualmente la vulnerabilidad está resuelta para las versiones de Bitbucket Data Center 7.6.14, 7.17.6, 7.18.4, 7.19.4, 7.20.1 y 7.21.0 por lo que es recomendable actualizar a estas versiones desde la página oficial [3] para solventar la vulnerabilidad.

Confluence Data Center todavía no ha sido actualizada, pero se puede revisar el archivo confluence.cfg.xm del directorio de inicio de Confluence para verificar si ha sido instalado como clúster.

REFERENCIAS

[1] https://confluence.atlassian.com/security/multiple-products-security-advisory-hazelcast-vulnerable-to-remote-code-execution-cve-2016-10750-1116292387.html
[2] https://nvd.nist.gov/vuln/detail/CVE-2016-10750
[3] https://www.atlassian.com/software/bitbucket/download-archives