Новости
1С-Битрикс опровергла наличие в системе уязвимости
29 июня 2022 года «1С-Битрикс» опровергла наличие в своей системе критичных уязвимостей для взлома сайтов.
Клиенты пояснили, что 28 июня хакеры использовали в инциденте обнародованную еще в марте уязвимость BDU:2022-01141 в модуле vote системы управления содержимым сайтов (CMS) «1С-Битрикс: Управление сайтом», которая была закрыта разработчиками сразу после ее обнаружения.
Но не все клиенты обновили свои системы
Те из администраторов сайтов, кто это не сделал, массово столкнулись с проблемами: удалена и потом заменена главная страница, удален .settings.php, удалены инфоблоки с элементами, были взломаны права на папку с сайтами, сменены пароли админов.
Разработчики сайтов пояснили на форуме «1С-Битрикс», что их взломали с помощью записанных в папку upload файлов (например, /upload/tmp/BXTEMP-2022-06-28/), которые добавляют и запускают агента (ID=1).
По их мнению, это напрямую связано с уязвимостью модуля vote (возможность отправки специально сформированных сетевых пакетов, эксплуатация уязвимости может позволить нарушителю, действующему удаленно, записать произвольные файлы в уязвимую систему), известной ещё с апреля, но на их сайтах не было обновлений, в которых была исправлена ошибка безопасности.
На проблемных серверах был модуль vote ниже 21.0.100.
Другие администраторы сайтов предупредили, что, возможно, использовались и другие критические уязвимости. У некоторых были взломаны сразу десятки проектов на разных хостингах с разными версиями «1С-Битрикс».
Документы и ссылки:
- Документация по инциденту от администраторов сайтов.
- Пример действий по восстановлению сайтов.
- Полный разбор манипуляций для этого.
Вдобавок администраторы сайтов предположили, что хакеры использовали уязвимости в виртуальных машинах Bitrix VM, так как сайты не на Bitrix VM с обновлениями от апреля взломаны не были.
«Все случаи взломов связаны с отсутствием обновлений сайтов со стороны клиентов. Все уязвимости были устранены несколько месяцев назад, бесплатные обновления были выпущены. Клиенты были проинформированы», — заявили в «1С-Битрикс».
Компания пояснила, что только 10% клиентов постоянно обновляют свои сайты, из-за чего уровень их информационной безопасности остается недостаточно высоким.
«Только регулярные обновления сайтов обеспечивают высокий уровень безопасности. Риски атак в последнее время значительно возросли», — предупредили в «1С-Битрикс».
Среди порталов крупных организаций, которые были взломаны с помощью этой уязвимости были сайты Росреестра и Совета по правам человека.
По материалам habr.com