В России зафиксировано распространение вредоносной нагрузки на хосты пользователей web-сайтов под управлением CMS Bitrix. Эксперты Центра предотвращения киберугроз CyberART ГК Innostage связывают данную вредоносную активность с атакой на модуль «vote».
Эксплуатация уязвимости позволяет удаленному злоумышленнику записать произвольные файлы в уязвимую систему посредством отправки специально сформированных сетевых пакетов. Хакеры могут использовать сайты на Bitrix для кражи учётных записей пользователей и данных платежных карт. Возможна модернизация скомпрометированных сайтов для реализации более серьёзных атак. Фактически помочь может только обновление зараженных сайтов и устранение на них вредоносных скриптов.
Пользователь при посещении скомпрометированной web-страницы загружает вредоносный JS-скрипт, который перенаправляет на фишинговые страницы. Логика работы скрипта заключается в следующем: если пользователь попадает на скомпрометированную страницу, скрипт проверяет, что пользователь еще не посещал сегодня ни одну из скомпрометированных страниц, а также проверяет, что он попал на сайт через поисковую систему. После этого происходит перенаправление на следующую страницу, где происходит еще одно перенаправление и пользователь попадает на одну из фишинговых страниц. Адреса сайтов меняются, но в известных случаях фишинг маскируется под личный кабинет Сбера, Ozon или DNS.
Условия для эксплуатации уязвимости:
1. Существует хотя бы один агент на сервере.
2. Известна дата/время, установленные на сервере, в том числе и часовой пояс.
3. Доступ к файлу uf.php
Компания 1С- Битрикс сообщила, что уязвимость была устранена несколько месяцев назад, бесплатные обновления были выпущены. Клиенты были проинформированы. К сожалению, только 10% клиентов регулярно обновляют свои сайты. Однако, как утверждает компания, уровень информационной безопасности у клиентов остается недостаточно высоким.
Рекомендации для пользователей Bitrix CMS
Центр предотвращения киберугроз CyberART ГК Innostage в качестве первоочередных этапов по закрытию уязвимости рекомендует:
1. Обновить ПО до актуальной версии модуля «vote» — 22.100.300. Рекомендуем в кратчайшие сроки провести мероприятия по обновлению данного программного обеспечения. При возникновении проблем с установкой обновления ПО или невозможности установить обновление онлайн, патч с исправлением можно запросить в технической поддержке 1С-Битрикс (https://www.1c-bitrix.ru/support/).
2. Включить проактивную защиту CMS Bitrix: проактивный фильтр и контроль активности.
3. Включить модуль web-защиты при его наличии в АВПО.
4. Для предотвращения эксплуатации уязвимости необходимо запретить POST-запросы к файлу «uf.php», прописав программный модуль в файле /bitrix/tools/vote/uf.php.
Уязвимость в CMS Bitrix: хакеры направляют пользователей на фальшивые сайты
Задать вопрос эксперту
Наши специалисты ответят на любой интересующий вопрос
Задать вопрос