Специалисты Positive Technologies рассказали, как помогли исправить критическую уязвимость в продуктах «1С-Битрикс». Уязвимость получила максимальную оценку 10 баллов по шкале CVSS 3.0, и с ее помощью атакующий мог запустить любое ПО на уязвимом узле и потенциально развить атаку в локальной сети.
Проблема, получившая идентификатор BDU:2023-05857 была обнаружена экспертом Positive Technologies Сергеем Близнюком в системе управления сайтом «1С-Битрикс: Управление сайтом». По статистике Reg.ru, это одна из самых распространенных коммерческих CMS в российских доменах.
Эта же уязвимость была выявлена и в «Битрикс24» — наиболее популярной CRM-системе в РФ, согласно опросу Института проблем предпринимательства.
Уязвимости были подвержены все сайты на основе «1С-Битрикс: Управление сайтом», начиная с версии «Стандарт» этого продукта. В CRM Bitrix24, имеющей общее ядро с CMS, указанная проблема коснулась self-hosted установок в некоторых конфигурациях.
Исследователи уведомили производителя об угрозе, и 14 сентября 2023 года он выпустил обновление для устранения бага.
По данным специалистов, на момент выпуска вендором уведомления безопасности владельцы около 17 000 веб-ресурсов использовали уязвимую версию «1С-Битрикс: Управление сайтом». Больше всего таких сайтов обнаружено в доменных зонах .RU, .BY, .KZ и.KG и .UA. Наиболее распространенная отрасль, в которой встречаются ресурсы с данной уязвимостью, — электронная коммерция (11%).
Для устранения уязвимости нужно обновить модуль landing до версии 23.850.0 и выше. Обновление доступно всем пользователям при наличии PHP 8.0 (начиная с версии 23.300.100, пользователи, не обновившиеся до PHP 8.0, не получают обновления) и с активной лицензией. Остальным пользователям рекомендуется обратиться в техподдержку для получения патча или отключить модуль landing.
Проблема, получившая идентификатор BDU:2023-05857 была обнаружена экспертом Positive Technologies Сергеем Близнюком в системе управления сайтом «1С-Битрикс: Управление сайтом». По статистике Reg.ru, это одна из самых распространенных коммерческих CMS в российских доменах.
Эта же уязвимость была выявлена и в «Битрикс24» — наиболее популярной CRM-системе в РФ, согласно опросу Института проблем предпринимательства.
Уязвимости были подвержены все сайты на основе «1С-Битрикс: Управление сайтом», начиная с версии «Стандарт» этого продукта. В CRM Bitrix24, имеющей общее ядро с CMS, указанная проблема коснулась self-hosted установок в некоторых конфигурациях.
Исследователи уведомили производителя об угрозе, и 14 сентября 2023 года он выпустил обновление для устранения бага.
По данным специалистов, на момент выпуска вендором уведомления безопасности владельцы около 17 000 веб-ресурсов использовали уязвимую версию «1С-Битрикс: Управление сайтом». Больше всего таких сайтов обнаружено в доменных зонах .RU, .BY, .KZ и.KG и .UA. Наиболее распространенная отрасль, в которой встречаются ресурсы с данной уязвимостью, — электронная коммерция (11%).
Для устранения уязвимости нужно обновить модуль landing до версии 23.850.0 и выше. Обновление доступно всем пользователям при наличии PHP 8.0 (начиная с версии 23.300.100, пользователи, не обновившиеся до PHP 8.0, не получают обновления) и с активной лицензией. Остальным пользователям рекомендуется обратиться в техподдержку для получения патча или отключить модуль landing.
