10-балльная RCE-уязвимость в CMS 1С-Битрикс затронула 17 тысяч сайтов

10-балльная RCE-уязвимость в CMS 1С-Битрикс затронула 17 тысяч сайтов

Эксперт Positive Technologies обнаружил в системе «1С-Битрикс: Управление сайтом» уязвимость, опасность которой была оценена в 10 баллов по шкале CVSS. Эта же проблема актуальна для некоторых CRM Битрикс24; соответствующий патч доступен с 14 сентября.

Согласно бюллетеню «1С-Битрикс», данная уязвимость привязана к модулю landing и вызвана ошибками синхронизации при использовании общего ресурса. Эксплойт позволяет удаленно выполнить любую системную команду, захватить контроль над хостом и проникнуть во внутреннюю сеть.

«Уязвимость позволяла удаленному пользователю выполнить произвольный код, — уточняет автор находки, специалист по пентесту Сергей Близнюк. — Это давало потенциальному атакующему возможность запускать на узле любое ПО и манипулировать содержимым сайта и базой данных, а в случае наличия связности с локальной сетью — развивать атаку на внутренние ресурсы».

Затронутыми оказались все сайты, использующие «1С-Битрикс: Управление сайтом» в различных редакциях, начиная со «Стандарт». Под ударом оказались также некоторые резидентные серверы Bitrix24 (self-hosted).

По данным мониторинга PT Expert Security Center, на момент выхода бюллетеня разработчика уязвимые версии CMS-системы использовали около 17 тыс. сайтов — в основном в TLD-зонах RU, BY, KZ, KG и UA. Владельцами 11% таких ресурсов оказались компании из сферы электронной коммерции.

Патч для уязвимости был включен в состав сборки 23.850.0 модуля landing. Обновление доступно пользователям при наличии PHP 8.0 и активной лицензии. Заплатку можно также получить, обратившись в техподдержку; в противном случае придется отключить landing, чтобы предотвратить эксплойт.

К сожалению, уязвимости в CMS «1С-Битрикс» нередки, и каждый раз они ставят под удар большое количество обитателей рунета. В CRM Битрикс24 в этом году было устранено как минимум восемь опасных проблем.

Эффективную защиту от эксплойта уязвимостей в веб-приложениях, по словам экспертов, предоставляют ИБ-продукты класса WAF. Выявить атаку через дыру в CMS-модуле landing также поможет новое правило, созданное для MaxPatrol SIEM 7.0 и выше.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

VPN-сервисы подверглись атаке по всему миру

Злоумышленники атакуют сети по всему миру миллионами попыток входа в систему. Масштабная кампания по компрометации учетных данных направлена на VPN, SSH и веб-приложения.

Эксперты по безопасности Cisco Talos предупредили об атаке на сети с целью получения доступа к учетным записям VPN, SSH и веб-приложений.

Атаки носят беспорядочный характер и не направлены на какой-то конкретный регион или отрасль. Для получения доступа злоумышленники используют различные комбинации действительных имен сотрудников определенных организаций и паролей.

Исследователи Talos рассказали, что данные атаки могут позволить хакерам получить доступ к сети и учетным записям пользователей.

Попытки взлома начались ещё 18 марта 2024 года и продолжают набирать обороты. Отследить злоумышленников очень трудно, так как атаки поступают с узлов выхода TOR и других анонимизирующих туннелей и прокси-серверов.

IP-адреса анонимизации принадлежат таким сервисам, как VPN Gate, TOR, Proxy Rack, Nexus Proxy, IPIDEA Proxy и другим.

Компания Talos сообщила, что атаке подверглись следующие сервисы:

  • Cisco Secure Firewall VPN;
  • Checkpoint VPN;
  • Fortinet VPN;
  • SonicWall VPN;
  • RD Web Services;
  • Mikrotik;
  • Draytek;
  • Ubiquiti.

IP-адреса анонимайзеров, как выяснили исследователи, принадлежат следующим сервисам:

  • TOR
  • VPN Gate
  • IPIDEA Proxy
  • BigMama Proxy
  • Space Proxies
  • Nexus Proxy
  • Proxy Rack

Упомянутый выше перечень IP-адресов Cisco добавила в список блокировки для своих VPN-продуктов. С полным списком индикаторов компрометации можно ознакомиться здесь.

Компания также опубликовала список рекомендаций, которые помогут пользователям обезопасить себя от атак:

  • блокировать попытки подключения из перечисленных вредоносных источников;
  • включение подробного протоколирования, чтобы администраторы могли распознавать и соотносить атаки на различных конечных точках сети;
  • защита учетных записей удаленного доступа по умолчанию путем их блокировки;
  • внедрение системы контроля и управления доступом на уровне интерфейса.
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru