A Agência de Segurança Cibernética e Infraestrutura (CISA) adicionou mais três falhas de segurança à sua lista de bugs explorados em ataques, incluindo Bitbucket Server e Microsoft Exchange.

O catálogo de vulnerabilidades exploradas conhecidas da CISA agora inclui duas vulnerabilidades de Zero Day no Microsoft Exchange (CVE-2022-41040 e CVE-2022-41082) explorados em ataques limitados e direcionados, de acordo com a Microsoft.

Embora a Microsoft ainda não tenha lançado atualizações de segurança para resolver esse par de bugs explorados ativamente, ela compartilhou medidas de mitigação exigindo que os clientes adicionassem uma regra de bloqueio de servidor IIS que bloquearia tentativas de ataque.

Embora a Microsoft ainda não tenha lançado atualizações de segurança para resolver esse par de bugs explorados ativamente, ela compartilhou medidas de mitigação exigindo que os clientes adicionassem uma regra de bloqueio de servidor IIS que bloquearia tentativas de ataque.

A terceira falha de segurança que a CISA adicionou à sua lista (rastreada como CVE-2022-36804) é uma vulnerabilidade de injeção de comando de gravidade crítica no Bitbucket Server e Data Center da Atlassian, com código de exploração de prova de conceito disponível publicamente.

Os invasores podem obter execução remota de código explorando a falha por meio de solicitações HTTP maliciosas. Ainda assim, eles devem ter acesso a um repositório público ou permissões de leitura para um repositório privado.