10-балльная RCE-уязвимость в CMS 1С-Битрикс затронула 17 тысяч сайтов

10-балльная RCE-уязвимость в CMS 1С-Битрикс затронула 17 тысяч сайтов

10-балльная RCE-уязвимость в CMS 1С-Битрикс затронула 17 тысяч сайтов

Эксперт Positive Technologies обнаружил в системе «1С-Битрикс: Управление сайтом» уязвимость, опасность которой была оценена в 10 баллов по шкале CVSS. Эта же проблема актуальна для некоторых CRM Битрикс24; соответствующий патч доступен с 14 сентября.

Согласно бюллетеню «1С-Битрикс», данная уязвимость привязана к модулю landing и вызвана ошибками синхронизации при использовании общего ресурса. Эксплойт позволяет удаленно выполнить любую системную команду, захватить контроль над хостом и проникнуть во внутреннюю сеть.

«Уязвимость позволяла удаленному пользователю выполнить произвольный код, — уточняет автор находки, специалист по пентесту Сергей Близнюк. — Это давало потенциальному атакующему возможность запускать на узле любое ПО и манипулировать содержимым сайта и базой данных, а в случае наличия связности с локальной сетью — развивать атаку на внутренние ресурсы».

Затронутыми оказались все сайты, использующие «1С-Битрикс: Управление сайтом» в различных редакциях, начиная со «Стандарт». Под ударом оказались также некоторые резидентные серверы Bitrix24 (self-hosted).

По данным мониторинга PT Expert Security Center, на момент выхода бюллетеня разработчика уязвимые версии CMS-системы использовали около 17 тыс. сайтов — в основном в TLD-зонах RU, BY, KZ, KG и UA. Владельцами 11% таких ресурсов оказались компании из сферы электронной коммерции.

Патч для уязвимости был включен в состав сборки 23.850.0 модуля landing. Обновление доступно пользователям при наличии PHP 8.0 и активной лицензии. Заплатку можно также получить, обратившись в техподдержку; в противном случае придется отключить landing, чтобы предотвратить эксплойт.

К сожалению, уязвимости в CMS «1С-Битрикс» нередки, и каждый раз они ставят под удар большое количество обитателей рунета. В CRM Битрикс24 в этом году было устранено как минимум восемь опасных проблем.

Эффективную защиту от эксплойта уязвимостей в веб-приложениях, по словам экспертов, предоставляют ИБ-продукты класса WAF. Выявить атаку через дыру в CMS-модуле landing также поможет новое правило, созданное для MaxPatrol SIEM 7.0 и выше.

Зарплаты и пенсии не загонят в цифровой рубль, заявила Набиуллина

Глава Банка России Эльвира Набиуллина попыталась сбить градус паники вокруг цифрового рубля. По её словам, страшилки о том, что всех бюджетников и пенсионеров якобы переведут на новую форму денег принудительно, — это абсурд.

В разговоре с журналисткой Наилей Аскер-заде на полях Финансового конгресса ЦБ в Санкт-Петербурге Набиуллина признала, что вокруг цифрового рубля действительно много мифов. Но, по её словам, так бывает почти с любой новой финансовой технологией.

Глава ЦБ напомнила, что похожие опасения когда-то возникали вокруг карт «Мир» и Системы быстрых платежей. Сейчас, как отметила Набиуллина, люди уже активно пользуются этими инструментами и ценят их удобство.

Главный тезис регулятора — цифровой рубль не должен стать обязаловкой. Пользователь сможет сам выбрать, в какой форме получать деньги: наличными, на обычный банковский счёт или в цифровых рублях.

«У вас будет выбор пользоваться или не пользоваться цифровым рублём», — подчеркнула Набиуллина.

По её словам, у Банка России нет задачи просто насыпать побольше цифровых рублей в экономику ради красивой статистики. Новый инструмент должен применяться там, где он действительно будет востребован.

ЦБ видит потенциал цифрового рубля прежде всего в расчетах бизнеса и международных платежах. При этом регулятор хочет сделать инструмент понятным, удобным и выгодным как для граждан, так и для компаний.

RSS: Новости на портале Anti-Malware.ru