BitBucket服务器参数注入漏洞安全预警通告第二次更新

此次更新新增内容：

新增产品线解决方案。

近日，Atlassian官方发布了关于Bitbucket Server和Bitbucket Data Center安全预警通告，某些版本存在参数注入漏洞，允许攻击者向Git命令注入额外的参数读取文件，可能导致远程命令执行。如果远程攻击者能够访问Bitbucket Server或Bitbucket Data Center中的Git仓库，则可以利用此参数注入额外命令。如果仓库可公开访问，则攻击者可无需任何凭据利用此漏洞。

奇安信 CERT

漏洞描述

 

近日，Atlassian官方发布了关于Bitbucket Server和Bitbucket Data Center安全预警通告，某些版本存在参数注入漏洞，允许攻击者向Git命令注入额外的参数读取文件，可能导致远程命令执行。如果远程攻击者能够访问Bitbucket Server或Bitbucket Data Center中的Git仓库，则可以利用此参数注入额外命令。如果仓库可公开访问，则攻击者可无需任何凭据利用此漏洞。

风险等级

奇安信 CERT风险评级为：高危

预警等级：蓝色预警（一般事件）

影响范围

 

version < 5.16.10

6.0.0 <= version < 6.0.10

6.1.0 <= version < 6.1.8

6.2.0 <= version < 6.2.6

6.3.0 <= version < 6.3.5

6.4.0 <= version < 6.4.3

6.5.0 <= version < 6.5.2

处置建议

 

升级到以下版本：

5.16.10

6.0.10

6.1.8

6.2.6

6.3.5

6.4.3

6.5.2

6.6.0

6.6.1

缓解措施：使用官方发布的hotfix；对项目/仓库禁止匿名访问，可以防止匿名用户执行任意git命令。

技术分析

首先来看一下哪些参数可控哪些不可控，以及各个参数在整个命令中的位置：

/usr/bin/git diff -C --color=never -U10000 --dst-prefix=dst:// --src-prefix=src:// <可控sinceId> <可控untilId> -- <可控待diff文件名>

由于漏洞描述中说由于参数注入可以 造成命令执行，于是开始花了大量时间找类似于git ls-remote命令的--upload-pack参数；git grep命令的--open-files-in-pager参数进行漏洞注入的方式。但是看了很久git diff命令一直没找到合适的参数。看到的唯一带执行命令的参数是--ext-diff

Allow an external diff helper to be executed. If you set an external diff driver with gitattributes(5), you need to use this option with git-log(1) and friends.

然而尝试之后发现需要预先在.gitconfig文件或者git全局配置中指定好外部diff命令的路径，于是这个漏洞就搁置了。最近看到这篇文章中的分析，才恍然大悟。这里把我对这篇文章中利用方式的理解记录一下。

利用步骤如下：第一步，这里使用--output--，通过在sinceId处注入--output选项，指定diff结果导出到--文件中，在工作目录下生成一个空的--文件（后续用到）；

第二步，无论 -- /etc/passwd前面有0个、1个或者2个commit hash都会由于不可控参数--的存在，而导致--后面的文件被当作文件路径被解析，而且这个文件不能在工作区（working tree）之外。否则会提示:

fatal: /etc/passwd: '/etc/passwd' is outside repository

而读取失败。 

这里先生成一个--文件，然后拼接出-- -- /etc/passwd的参数列表。这里由于新插入的前面的--的存在，将原本后面的--参数当作一个文件看待；然后再通过注入--no-index参数，拼接出

git diff --no-index -- -- /etc/passwd

的命令（这个命令的含义是对两个文件--和/etc/passwd进行diff操作），利用其可以读取工作区（working tree）之外文件的特性，成功读取出工作区外的任意文件。

两个步骤模拟如下：

git diff命令： –output选项

–output=<file> Output to a specific file instead of stdout.

–no-index选项

You can omit the –no-index option when running the command in a working tree controlled by Git and at least one of the paths points outside the working tree, or when running the command outside a working tree controlled by Git.

官方热补丁：

官方发布的hotfix的修复方式是拦截以--开头的commitId然后响应400。 

产品线解决方案

 

奇安信天眼产品解决方案：

奇安信天眼新一代威胁感知系统在第一时间加入了该漏洞的检测规则，请将规则包升级到3.0.1028. 11420及以上版本。规则名称：Atlassian-BitBucket服务器参数注入漏洞（CVE-2019-15000），规则ID：0x10020737。奇安信天眼流量探针（传感器）升级方法：系统配置->设备升级->规则升级，选择“网络升级”或“本地升级”。

 

奇安信网站应用安全云防护系统已更新防护特征库：

奇安信网神网站应用安全云防护系统已全局更新所有云端防护节点的防护规则，支持对BitBucket服务器参数注入漏洞的防护。

 

360网神虚拟化安全管理平台已更新入侵防御规则库：

360 网神虚拟化安全管理平台无代理版本可通过更新入侵防御规则库到10189版本，支持对BitBucket服务器参数注入漏洞（CVE-2019-15000）的防御，请用户联系技术支持人员获取规则升级包对虚拟化产品无代理版本进行升级。

 

奇安信网神网络数据传感器系统产品检测方案：

奇安信网神网络数据传感器（NDS3000/5000/9000系列）产品，已具备该漏洞的检测能力。规则ID为：5408，建议用户尽快升级检测规则库至1910281328以上版本并启用该检测规则。

 

360网神天堤防火墙产品防护方案：

360新一代智慧防火墙（NSG3000/5000/7000/9000系列）和下一代极速防火墙（NSG3500/5500/7500/9500系列）产品系列，已通过更新IPS特征库完成了对该漏洞的防护。建议用户尽快将IPS特征库升级至” 1910281328” 及以上版本并启用规则ID: 5408进行检测。

参考资料

https://jira.atlassian.com/browse/BSERV-11947

https://confluence.atlassian.com/bitbucketserver/bitbucket-server-security-advisory-2019-09-18-976762635.html

https://mp.weixin.qq.com/s/8OSdYVTkv0J12ZKbLacITw

https://git-scm.com/docs/git-diff

https://mijingo.com/blog/what-is-the-working-tree-in-git

https://mp.weixin.qq.com/s/8OSdYVTkv0J12ZKbLacITw

时间线

2019年9月20日，奇安信 CERT监测到此漏洞

2019年9月20日，奇安信 CERT发布预警通告

2019年10月28日，奇安信 CERT发布预警通告第二次更新

原文始发于微信公众号（奇安信 CERT）：【漏洞预警】BitBucket服务器参数注入漏洞安全预警通告第二次更新