+7 495 008 8452 пн.-пт. 10:00 – 17:00
Загрузка...
Каталог arrow
Лицензии Bitrix
Модули для 1С-Битрикс
Продления модулей
Модули от АКРИТ
Акции и скидки
Услуги arrow
Услуги разработки
Настройки интеграций с маркетплайсами
Экспертиза производительности
Переход на старшие редакции
Продление решений
Акции и скидки
Помощь arrow
Заявка в техподдержку
Статьи техподдержки
Частые вопросы по модулям
Частые вопросы по Битриксу
Мастер-классы
Предложить идею
Клиентам arrow
Личный кабинет
Контакты и реквизиты
Акции и скидки
Сертификаты
Коммерческое предложение
Режим работы
Как купить
База знаний arrow
1С-Битрикс
Битрикс24
Кладовка программиста
Маркетинг
Советы техподдержки
Разработка
Дизайн
Проект сайта
Анализ сайта
Маркетинговая стратегия
Наполнение контентом
Видео по настройке модулей (youtube)
Хостинг
FAQ Экспорта
Вакансии
Веб-студия АКРИТ. разработка модулей и сайтов, интернет магазинов на 1С Битрикс
Кладовка программиста
Уязвимости проектов на 1С-Битркис
Проблема, получившая идентификатор BDU:2023-05857 была обнаружена Сергеем Близнюком

Проблема, получившая идентификатор BDU:2023-05857 была обнаружена Сергеем Близнюком

Если у вас возникли какие либо вопросы которые вы не смогли решить по нашим публикациям самостоятельно,
то ждем ваше обращение в нашей службе тех поддержки.

Специалисты Positive Technologies рассказали, как помогли исправить критическую уязвимость в продуктах «1С-Битрикс». Уязвимость получила максимальную оценку 10 баллов по шкале CVSS 3.0, и с ее помощью атакующий мог запустить любое ПО на уязвимом узле и потенциально развить атаку в локальной сети.

Проблема, получившая идентификатор BDU:2023-05857 была обнаружена экспертом Positive Technologies Сергеем Близнюком в системе управления сайтом «1С-Битрикс: Управление сайтом». По статистике Reg.ru, это одна из самых распространенных коммерческих CMS в российских доменах.

Эта же уязвимость была выявлена и в «Битрикс24» — наиболее популярной CRM-системе в РФ, согласно опросу Института проблем предпринимательства.

«Уязвимость позволяла удаленному пользователю выполнить произвольный код. Это давало потенциальному атакующему возможность запускать на узле любое ПО и манипулировать содержимым сайта и базой данных, а в случае наличия связности с локальной сетью — развивать атаку на внутренние ресурсы, — рассказывает Сергей Близнюк. — Решения “1С-Битрикс” — это масштабные проекты с большой кодовой базой. Модули обновляются с разной периодичностью, и иногда можно встретить устаревший код, написанный еще без учета современных стандартов безопасной разработки».

Уязвимости были подвержены все сайты на основе «1С-Битрикс: Управление сайтом», начиная с версии «Стандарт» этого продукта. В CRM Bitrix24, имеющей общее ядро с CMS, указанная проблема коснулась self-hosted установок в некоторых конфигурациях.

Исследователи уведомили производителя об угрозе, и 14 сентября 2023 года он выпустил обновление для устранения бага.

По данным специалистов, на момент выпуска вендором уведомления безопасности владельцы около 17 000 веб-ресурсов использовали уязвимую версию «1С-Битрикс: Управление сайтом». Больше всего таких сайтов обнаружено в доменных зонах .RU, .BY, .KZ и.KG и .UA. Наиболее распространенная отрасль, в которой встречаются ресурсы с данной уязвимостью, — электронная коммерция (11%).

Для устранения уязвимости нужно обновить модуль landing до версии 23.850.0 и выше. Обновление доступно всем пользователям при наличии PHP 8.0 (начиная с версии 23.300.100, пользователи, не обновившиеся до PHP 8.0, не получают обновления) и с активной лицензией. Остальным пользователям рекомендуется обратиться в техподдержку для получения патча или отключить модуль landing.



Назад в раздел

Подписаться на новые материалы раздела:
Загрузка...