Атакующий мог запустить любое ПО на уязвимом узле и потенциально развить атаку в локальной сети
Уязвимость BDU:2023-05857 с максимальной оценкой 10 баллов по шкале CVSS 3.0 была обнаружена экспертом Positive Technologies Сергеем Близнюком в системе управления сайтом «1С-Битрикс: Управление сайтом» — самой распространенной коммерческой CMS в российских доменах (по данным REG.RU). Та же уязвимость была выявлена в Битрикс24 — наиболее популярной CRM[1]-системе в РФ, согласно опросу Института проблем предпринимательства. Вендор был уведомлен об угрозе в рамках политики ответственного разглашения и 14 сентября выпустил обновление ПО для устранения уязвимости.
По данным мониторинга экспертного центра безопасности Positive Technologies (PT Expert Security Center), на момент публикации вендором уведомления безопасности владельцы около 17 тысяч веб-ресурсов использовали уязвимую версию «1С-Битрикс: Управление сайтом». Больше всего таких сайтов выявлены в доменных зонах .RU, .BY, .KZ и.KG и .UA. Наиболее распространенная отрасль, в которой встречаются ресурсы с данной ошибкой, — электронная коммерция (11%).
«Уязвимость позволяла удаленному пользователю выполнить произвольный код. Это давало потенциальному атакующему возможность запускать на узле любое ПО и манипулировать содержимым сайта и базой данных, а в случае наличия связности с локальной сетью — развивать атаку на внутренние ресурсы, — пояснил Сергей Близнюк, старший специалист отдела тестирования на проникновение Positive Technologies. — Решения «1С-Битрикс» — это масштабные проекты с большой кодовой базой. Модули обновляются с разной периодичностью, и иногда можно встретить устаревший код, написанный еще без учета современных стандартов безопасной разработки».
Уязвимости были подвержены все сайты на основе «1С-Битрикс: Управление сайтом», начиная с версии «Стандарт» этого продукта. В CRM Bitrix24, имеющей общее ядро с CMS, указанная проблема коснулась self-hosted (не облачных) инсталляций в некоторых конфигурациях.
Для устранения уязвимости необходимо обновить модуль landing до версии 23.850.0 и выше. Обновление доступно всем пользователям при наличии PHP 8.0 (начиная с версии 23.300.100, пользователи, не обновившиеся до PHP 8.0, не получают обновления) и с активной лицензией. Остальные пользователи могут обратиться в техподдержку для получения патча или отключить модуль landing.
Для блокировки атак, эксплуатирующих обнаруженную уязвимость и другие недостатки безопасности веб-приложений, эффективно применение продуктов класса web application firewall, таких как PT Application Firewall. Обнаружить атаки, эксплуатирующие уязвимость BDU:2023-05857, можно с помощью MaxPatrol SIEM 7.0 и выше (используя правило CMS_1C_Bitrix_Race_Landing_Exploit, поставляемое «из коробки»).
[1] CRM-система (от англ. Customer Relationship Management) — система для взаимодействия с клиентами.
Редакция Кибер Медиа собрала для вас главные события этой недели из мира кибербезопасности.
Руководители OpenAI, Anthropic, Google DeepMind, Microsoft AI и других технологических компаний подписали открытое письмо к Конгрессу США с призывом ввести обязательную проверку заказов на синтетические ДНК и РНК.
Apple заявила, что мессенджер Max был удален из App Store из-за правил соблюдения санкций: в комментарии Русской службе BBC компания уточнила, что соблюдает законы юрисдикций, в которых работает, но не раскрыла, о каких именно санкциях идет речь.
Исследователи Google разработали систему Passive Heart Rate Monitoring, которая позволяет измерять частоту сердечных сокращений и пульс в состоянии покоя с помощью обычной фронтальной камеры смартфона.
Российская индустрия информационной безопасности в ближайшие годы способна дорасти до годового объема в 1 трлн рублей.
На полях Петербургского международного экономического форума заместитель генерального директора «Газпром-Медиа Холдинга» Сергей Косинский, возглавляющий направление цифровых активов, представил аналитический срез ключевых ИБ-вызовов медиаиндустрии.
Заместитель начальника Аналитического центра кибербезопасности ООО «Газинформсервис» Светлана Лагутина выступит с докладом на «Электро-2026».
На Петербургском международном экономическом форуме состоялась профильная сессия Сбера «Цифровой самозванец: новое оружие массового поражения».
В рамках участия в проекте студенты получили практические знания по работе с программными продуктами «Группы Астра», в частности с Astra Linux — российской операционной системой № 1.
Наиболее атакуемыми отраслями остаются телеком, финансовый сектор и государственные организации; мощность отдельных атак выросла на 173%, а атаки свыше 200 Гбит/с участились на 215%.
