Positive Technologies помогла исправить критическую уязвимость в продуктах «1С-Битрикс»

Атакующий мог запустить любое ПО на уязвимом узле и потенциально развить атаку в локальной сети

Уязвимость BDU:2023-05857 с максимальной оценкой 10 баллов по шкале CVSS 3.0 была обнаружена экспертом Positive Technologies Сергеем Близнюком в системе управления сайтом «1С-Битрикс: Управление сайтом» — самой распространенной коммерческой CMS в российских доменах (по данным REG.RU). Та же уязвимость была выявлена в Битрикс24 — наиболее популярной CRM1-системе в РФ, согласно опросу Института проблем предпринимательства. Вендор был уведомлен об угрозе в рамках политики ответственного разглашения и 14 сентября выпустил обновление ПО для устранения уязвимости.

По данным мониторинга экспертного центра безопасности Positive Technologies (PT Expert Security Center), на момент публикации вендором уведомления безопасности владельцы около 17 тысяч веб-ресурсов использовали уязвимую версию «1С-Битрикс: Управление сайтом». Больше всего таких сайтов выявлены в доменных зонах .RU, .BY, .KZ и.KG и .UA. Наиболее распространенная отрасль, в которой встречаются ресурсы с данной ошибкой, — электронная коммерция (11%).

«Уязвимость позволяла удаленному пользователю выполнить произвольный код. Это давало потенциальному атакующему возможность запускать на узле любое ПО и манипулировать содержимым сайта и базой данных, а в случае наличия связности с локальной сетью — развивать атаку на внутренние ресурсы, — пояснил Сергей Близнюк, старший специалист отдела тестирования на проникновение Positive Technologies. — Решения «1С-Битрикс» — это масштабные проекты с большой кодовой базой. Модули обновляются с разной периодичностью, и иногда можно встретить устаревший код, написанный еще без учета современных стандартов безопасной разработки».

Уязвимости были подвержены все сайты на основе «1С-Битрикс: Управление сайтом», начиная с версии «Стандарт» этого продукта. В CRM Bitrix24, имеющей общее ядро с CMS, указанная проблема коснулась self-hosted (не облачных) инсталляций в некоторых конфигурациях.

Для устранения уязвимости необходимо обновить модуль landing до версии 23.850.0 и выше. Обновление доступно всем пользователям при наличии PHP 8.0 (начиная с версии 23.300.100, пользователи, не обновившиеся до PHP 8.0, не получают обновления) и с активной лицензией. Остальные пользователи могут обратиться в техподдержку для получения патча или отключить модуль landing.

Для блокировки атак, эксплуатирующих обнаруженную уязвимость и другие недостатки безопасности веб-приложений, эффективно применение продуктов класса web application firewall, таких как PT Application Firewall. Обнаружить атаки, эксплуатирующие уязвимость BDU:2023-05857, можно с помощью MaxPatrol SIEM 7.0 и выше (используя правило CMS_1C_Bitrix_Race_Landing_Exploit, поставляемое «из коробки»).

  1. CRM-система (от англ. Customer Relationship Management) — система для взаимодействия с клиентами.