-
09/04/2020
-
128
-
1.833 bài viết
Atlassian cảnh báo lỗ hổng nghiêm trọng trong Bamboo, đe dọa chuỗi CI/CD doanh nghiệp
Atlassian vừa phát đi cảnh báo về hai lỗ hổng nghiêm trọng, ảnh hưởng trực tiếp tới Atlassian Bamboo Data Center and Server, trong đó có một lỗi thực thi lệnh hệ điều hành đạt mức nghiêm trọng và một lỗ hổng từ chối dịch vụ liên quan đến thư viện bên thứ ba. Các phiên bản bị ảnh hưởng trải dài trên nhiều nhánh phát hành, buộc tổ chức sử dụng Bamboo phải khẩn trương rà soát và cập nhật.
Lỗ hổng nghiêm trọng nhất, có mã định danh CVE-2026-21571, có điểm CVSS 9.4. Đây là lỗ hổng OS Command Injection, cho phép kẻ tấn công từ xa thực thi các lệnh tùy ý trên máy chủ. Việc khai thác thành công có thể dẫn đến chiếm quyền kiểm soát toàn diện hệ thống, qua đó mở rộng tấn công sang các hệ thống khác trong mạng nội bộ hoặc đánh cắp dữ liệu nhạy cảm.
Các phiên bản Bamboo bị ảnh hưởng gồm:
- 12.1.0 đến 12.1.3 (LTS)
- 12.0.0 đến 12.0.2
- 11.0.0 đến 11.0.8
- 10.2.0 đến 10.2.16 (LTS)
- 10.1.0 đến 10.1.1
- 10.0.0 đến 10.0.3
- 9.6.2 đến 9.6.24 (LTS)
Song song đó, lỗ hổng CVE-2026-33871 có điểm CVSS 8.7 cũng được ghi nhận liên quan đến thư viện Netty (io.netty:netty-codec-http2) tích hợp trong Bamboo. Kẻ tấn công có thể lợi dụng sơ hở trong quá trình xử lý HTTP/2 để gây ra tình trạng từ chối dịch vụ (DoS), làm gián đoạn hoạt động của các pipeline CI/CD. Dù Atlassian cho biết mức độ ảnh hưởng của lỗ hổng này trong Bamboo thấp hơn so với chính thư viện Netty, hãng vẫn khuyến nghị người dùng sớm cập nhật để giảm thiểu nguy cơ.
Là công cụ tự động hóa CI/CD cốt lõi, Bamboo từ lâu đã trở thành mục tiêu của các nhóm tấn công có chủ đích nhằm xâm nhập chuỗi cung ứng phần mềm. Việc can thiệp vào các thành phần build hoặc thu thập thông tin xác thực trong cấu hình pipeline có thể ảnh hưởng trực tiếp tới toàn bộ quy trình phát triển và phát hành sản phẩm.
Để đảm bảo an toàn, Atlassian khuyến nghị quản trị viên khẩn trương nâng cấp hệ thống lên phiên bản 12.1.6 (LTS) hoặc 10.2.18 (LTS). Trường hợp chưa thể cập nhật, cần tạm thời siết quyền truy cập vào giao diện quản trị nhằm hạn chế nguy cơ bị khai thác.
Là công cụ tự động hóa CI/CD cốt lõi, Bamboo từ lâu đã trở thành mục tiêu của các nhóm tấn công có chủ đích nhằm xâm nhập chuỗi cung ứng phần mềm. Việc can thiệp vào các thành phần build hoặc thu thập thông tin xác thực trong cấu hình pipeline có thể ảnh hưởng trực tiếp tới toàn bộ quy trình phát triển và phát hành sản phẩm.
Để đảm bảo an toàn, Atlassian khuyến nghị quản trị viên khẩn trương nâng cấp hệ thống lên phiên bản 12.1.6 (LTS) hoặc 10.2.18 (LTS). Trường hợp chưa thể cập nhật, cần tạm thời siết quyền truy cập vào giao diện quản trị nhằm hạn chế nguy cơ bị khai thác.
Tổng hợp