Хакер #305. Многошаговые SQL-инъекции
Специалисты Positive Technologies рассказали, как помогли исправить критическую уязвимость в продуктах «1С-Битрикс». Уязвимость получила максимальную оценку 10 баллов по шкале CVSS 3.0, и с ее помощью атакующий мог запустить любое ПО на уязвимом узле и потенциально развить атаку в локальной сети.
Проблема, получившая идентификатор BDU:2023-05857 была обнаружена экспертом Positive Technologies Сергеем Близнюком в системе управления сайтом «1С-Битрикс: Управление сайтом». По статистике Reg.ru, это одна из самых распространенных коммерческих CMS в российских доменах.
Эта же уязвимость была выявлена и в «Битрикс24» — наиболее популярной CRM-системе в РФ, согласно опросу Института проблем предпринимательства.
«Уязвимость позволяла удаленному пользователю выполнить произвольный код. Это давало потенциальному атакующему возможность запускать на узле любое ПО и манипулировать содержимым сайта и базой данных, а в случае наличия связности с локальной сетью — развивать атаку на внутренние ресурсы, — рассказывает Сергей Близнюк. — Решения “1С-Битрикс” — это масштабные проекты с большой кодовой базой. Модули обновляются с разной периодичностью, и иногда можно встретить устаревший код, написанный еще без учета современных стандартов безопасной разработки».
Уязвимости были подвержены все сайты на основе «1С-Битрикс: Управление сайтом», начиная с версии «Стандарт» этого продукта. В CRM Bitrix24, имеющей общее ядро с CMS, указанная проблема коснулась self-hosted установок в некоторых конфигурациях.
Исследователи уведомили производителя об угрозе, и 14 сентября 2023 года он выпустил обновление для устранения бага.
По данным специалистов, на момент выпуска вендором уведомления безопасности владельцы около 17 000 веб-ресурсов использовали уязвимую версию «1С-Битрикс: Управление сайтом». Больше всего таких сайтов обнаружено в доменных зонах .RU, .BY, .KZ и.KG и .UA. Наиболее распространенная отрасль, в которой встречаются ресурсы с данной уязвимостью, — электронная коммерция (11%).
Для устранения уязвимости нужно обновить модуль landing до версии 23.850.0 и выше. Обновление доступно всем пользователям при наличии PHP 8.0 (начиная с версии 23.300.100, пользователи, не обновившиеся до PHP 8.0, не получают обновления) и с активной лицензией. Остальным пользователям рекомендуется обратиться в техподдержку для получения патча или отключить модуль landing.