Positive Technologies помогла исправить критическую уязвимость в продуктах «1С-Битрикс»
Уязвимость BDU:2023-05857 с максимальной оценкой 10 баллов по шкале CVSS 3.0 была обнаружена экспертом Positive Technologies Сергеем Близнюком в системе управления сайтом «1С-Битрикс: Управление сайтом». Та же уязвимость была выявлена в CRM-системе «Битрикс24». Вендор был уведомлен об угрозе в рамках политики ответственного разглашения и 14 сентября выпустил обновление ПО для устранения уязвимости.
По данным мониторинга экспертного центра безопасности Positive Technologies (PT Expert Security Center), на момент публикации вендором уведомления безопасности владельцы около 17 тыс. веб-ресурсов использовали уязвимую версию «1С-Битрикс: Управление сайтом». Больше всего таких сайтов выявлены в доменных зонах .RU, .BY, .KZ и.KG и .UA. Наиболее распространенная отрасль, в которой встречаются ресурсы с данной ошибкой, — электронная коммерция (11%).
«Уязвимость позволяла удаленному пользователю выполнить произвольный код. Это давало потенциальному атакующему возможность запускать на узле любое ПО и манипулировать содержимым сайта и базой данных, а в случае наличия связности с локальной сетью — развивать атаку на внутренние ресурсы, — сказал Сергей Близнюк, старший специалист отдела тестирования на проникновение Positive Technologies. — Решения «1С-Битрикс» — это масштабные проекты с большой кодовой базой. Модули обновляются с разной периодичностью, и иногда можно встретить устаревший код, написанный еще без учета современных стандартов безопасной разработки».
Уязвимости были подвержены все сайты на основе «1С-Битрикс: Управление сайтом», начиная с версии «Стандарт» этого продукта. В CRM Bitrix24, имеющей общее ядро с CMS, указанная проблема коснулась self-hosted (не облачных) инсталляций в некоторых конфигурациях.
Для устранения уязвимости необходимо обновить модуль landing до версии 23.850.0 и выше. Обновление доступно всем пользователям при наличии PHP 8.0 (начиная с версии 23.300.100, пользователи, не обновившиеся до PHP 8.0, не получают обновления) и с активной лицензией. Остальные пользователи могут обратиться в техподдержку для получения патча или отключить модуль landing.
Для блокировки атак, эксплуатирующих обнаруженную уязвимость и другие недостатки безопасности веб-приложений, эффективно применение продуктов класса web application firewall, таких как PT Application Firewall. Обнаружить атаки, эксплуатирующие уязвимость BDU:2023-05857, можно с помощью MaxPatrol SIEM 7.0 и выше (используя правило CMS_1C_Bitrix_Race_Landing_Exploit, поставляемое «из коробки»).