В мире DevOps, где скорость и надежность доставки программного обеспечения являются критически важными, безопасность инструментов автоматизации стоит на первом месте. Однако даже у признанных лидеров рынка случаются серьезные промахи. Компания Atlassian объявила об обнаружении и устранении критической уязвимости в своих продуктах Bamboo Data Center и Bamboo Server, которая ставит под угрозу целые цепочки поставок программного обеспечения. Уязвимость, получившая идентификатор CVE-2026-21571 и высочайший балл опасности CVSS 9.4, позволяет аутентифицированным злоумышленникам выполнять произвольные команды на операционной системе удаленного сервера.
Детали уязвимостей
Этот недостаток был опубликован в рамках ежемесячного бюллетеня безопасности Atlassian от 21 апреля 2026 года, где компания традиционно раскрывает информацию об устраненных уязвимостях во всем своем портфеле корпоративных продуктов. Согласно данным Национальной базы данных об уязвимостях (NVD), проблема затрагивает множество веток выпуска Bamboo Data Center, включая версии 9.6.0, 10.0.0, 10.1.0, 10.2.0, 11.0.0, 11.1.0, 12.0.0 и 12.1.0. Atlassian уточняет, что источником уязвимости стала сторонняя зависимость (компонент, разработанный не Atlassian), и что реализация этой зависимости в их продуктах несет более низкий, некритический риск. Тем не менее, сырой балл CVSS 9.4 классифицирует уязвимость как критическую, что требует незамедлительного внимания со стороны специалистов.
С технической точки зрения, уязвимость представляет собой классическую инъекцию команд операционной системы (OS Command Injection). Вектор CVSS v4.0 (AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H) раскрывает всю серьезность угрозы: для эксплуатации достаточно сетевого доступа, низкой сложности атаки и наличия учетной записи с низким уровнем привилегий, при этом взаимодействие с пользователем не требуется. Успешная атака дает злоумышленнику возможность внедрять и выполнять произвольные команды на уровне операционной системы целевого сервера. Последствия такого воздействия всеобъемлющи. Во-первых, это высочайшее влияние на конфиденциальность: чувствительные данные о сборках и развертывании могут быть похищены. Во-вторых, серьезно страдает целостность: конвейеры непрерывной интеграции и доставки (CI/CD), а также их артефакты могут быть изменены. В-третьих, под ударом оказывается доступность: операции сервера могут быть нарушены или полностью остановлены.
Учитывая, что Bamboo является широко распространенной платформой для организации процессов CI/CD, успешная эксплуатация этой уязвимости открывает злоумышленникам путь для внедрения вредоносного кода напрямую в автоматизированные рабочие процессы сборки и развертывания. Это создает риск компрометации всей цепочки поставок программного обеспечения компании, когда скомпрометированный один элемент системы может привести к заражению множества конечных продуктов. Такие атаки, известные как атаки на цепочку поставок, особенно коварны, так как позволяют злоумышленникам масштабировать свое воздействие, используя доверенные процессы организации.
Для устранения угрозы Atlassian настоятельно рекомендует немедленно обновить затронутые версии. В частности, для Bamboo Data Center 12.1.x следует перейти на версию 12.1.6 (долгосрочная поддержка, LTS) или новее. Для ветки 10.2.x необходимо обновиться до 10.2.18 (LTS) или новее, а для 9.6.x - до 9.6.25 или более поздней. Тем организациям, которые не могут выполнить обновление немедленно, следует обратиться к порталу раскрытия информации об уязвимостях Atlassian, чтобы уточнить степень риска для своей конкретной версии продукта.
Стоит отметить, что CVE-2026-21571 стала лишь одной из 38 уязвимостей, устраненных в апрельском бюллетене безопасности Atlassian. Среди них 31 уязвимость высокой степени серьезности и 7 критических, затрагивающих не только Bamboo, но и Confluence, Bitbucket, Jira Software и Jira Service Management. В частности, внимание привлекают CVE-2024-47875 (мутировавший межсайтовый скриптинг, mXSS, через зависимость DOMPurify в Jira Software и Jira Service Management Data Center с CVSS 10.0), а также уже известная CVE-2022-1471 (удаленное выполнение кода через зависимость SnakeYAML в Confluence и Jira Service Management Data Center с CVSS 9.8). Компания отдельно поясняет, что уязвимости, публикуемые в ежемесячных бюллетенях, оцениваются как не представляющие непосредственной критической угрозы в контексте использования затронутых компонентов в их продуктах. Для угроз, требующих немедленных действий, Atlassian выпускает отдельные критические консультации по безопасности.
В свете произошедшего командам безопасности и DevOps, использующим Bamboo Data Center или Server, необходимо предпринять ряд шагов. Первым делом следует провести аудит всех развернутых версий Bamboo на предмет соответствия списку затронутых. Далее нужно незамедлительно применить рекомендованные патчи, выполнив обновление до защищенных версий. Также крайне важен ретроспективный анализ конфигураций конвейеров CI/CD на предмет признаков несанкционированных изменений или внедренных команд. Параллельно необходимо усилить мониторинг журналов аутентификации на предмет аномальной активности учетных записей с низкими привилегиями, нацеленной на агенты сборки. Учитывая ключевую роль Bamboo в процессах доставки программного обеспечения, незакрытые экземпляры представляют собой значительный риск для цепочки поставок, особенно для крупных предприятий, работающих в среде DevOps с множеством команд. В современном ландшафте киберугроз безопасность инструментов автоматизации - это не просто техническая необходимость, а фундаментальный элемент устойчивости всего бизнеса.
