Новости

1С-Битрикс опровергла наличие в системе уязвимости

30.06.2022 16:00

29 июня 2022 года «1С-Битрикс» опровергла наличие в своей системе критичных уязвимостей для взлома сайтов.

Клиенты пояснили, что 28 июня хакеры использовали в инциденте обнародованную еще в марте уязвимость BDU:2022-01141 в модуле vote системы управления содержимым сайтов (CMS) «1С-Битрикс: Управление сайтом», которая была закрыта разработчиками сразу после ее обнаружения.

Но не все клиенты обновили свои системы

Те из администраторов сайтов, кто это не сделал, массово столкнулись с проблемами: удалена и потом заменена главная страница, удален .settings.php, удалены инфоблоки с элементами, были взломаны права на папку с сайтами, сменены пароли админов.

Разработчики сайтов пояснили на форуме «1С-Битрикс», что их взломали с помощью записанных в папку upload файлов (например, /upload/tmp/BXTEMP-2022-06-28/), которые добавляют и запускают агента (ID=1).

По их мнению, это напрямую связано с уязвимостью модуля vote (возможность отправки специально сформированных сетевых пакетов, эксплуатация уязвимости может позволить нарушителю, действующему удаленно, записать произвольные файлы в уязвимую систему), известной ещё с апреля, но на их сайтах не было обновлений, в которых была исправлена ошибка безопасности.

На проблемных серверах был модуль vote ниже 21.0.100.

Другие администраторы сайтов предупредили, что, возможно, использовались и другие критические уязвимости. У некоторых были взломаны сразу десятки проектов на разных хостингах с разными версиями «1С-Битрикс».

Документы и ссылки:

Вдобавок администраторы сайтов предположили, что хакеры использовали уязвимости в виртуальных машинах Bitrix VM, так как сайты не на Bitrix VM с обновлениями от апреля взломаны не были.

«Все случаи взломов связаны с отсутствием обновлений сайтов со стороны клиентов. Все уязвимости были устранены несколько месяцев назад, бесплатные обновления были выпущены. Клиенты были проинформированы», — заявили в «1С-Битрикс».

Компания пояснила, что только 10% клиентов постоянно обновляют свои сайты, из-за чего уровень их информационной безопасности остается недостаточно высоким.

«Только регулярные обновления сайтов обеспечивают высокий уровень безопасности. Риски атак в последнее время значительно возросли», — предупредили в «1С-Битрикс».

Среди порталов крупных организаций, которые были взломаны с помощью этой уязвимости были сайты Росреестра и Совета по правам человека.

По материалам habr.com