Эксперты Positive Technologies нашли пять уязвимостей в системах «1С-Битрикс»

Эксперты PT SWARM Дмитрий Прохоров и Всеволод Дергунов нашли пять уязвимостей в системах «1С-Битрикс» в рамках партнерства Positive Technologies с компанией. Об этом сообщила пресс-служба Positive Technologies. Вендор уже устранил недостатки безопасности. Они затрагивают лишь пользователей, не установивших обновление.

По данным экспертов, реализовать такие векторы атак можно только в случае потери учетной записи из-за социальной инженерии или успешного подбора пароля. Они рекомендовали  строго контролировать учетные данные и усилить политику паролей, прежде всего через двухфакторную аутентификацию.

В случае успешной эксплуатации этих уязвимостей возможно расширение прав для предварительно скомпрометированной учетной записи, в результате которого могли случиться инциденты, связанные с несанкционированным доступом к пользовательским данным, в том числе информации из системы «Битрикс» и приложений, которые с ней взаимодействуют. Еще одним возможным последствием эксперты назвали риск дальнейшего распространения атаки на внутренние ресурсы компании. 

В релизе отмечается, что закрытые уязвимости могли бы привести к удаленному исполнению произвольного кода, но лишь при несанкционированном доступе в систему. Недостатки, которые обнаружил Прохоров,  коснулись версии 25.100.300. Они были связаны с неправильным управление привилегиями и выходом за пределы назначенного каталога. 

Пользователям нужно обновить компоненты в составе «1С-Битрикс: Управления сайтом» и  «1C-Битрикс24» — модуль main до версии 25.100.400, а модуль fileman до версии 24.500.100 или выше, подчеркнули в Positive Technologies, подчеркнули в Positive Technologies.

Дергуновым были обнаружены недостатки безопасности в модуле iblock, который предназначен для работы с информационными блоками, позволяющими публиковать на сайтах каталоги товаров, новостные блоки и справочники. Для этого компонента разработчик опубликовал общую исправленную версию 24.300.100.

Два недостатка безопасности, найденные Дергуновым, представляют собой уязвимости типа Relative Path Traversal, они позволяют атакующим манипулировать путями к файлам и папкам, которые находятся за пределами разрешенных каталогов. Еще один недостаток относится к классу Local File Inclusion PHP.

Бизнес-партнер по информационной безопасности «1C-Битрикс» Леонид Плетнев, чьи слова приводятся в релизе, отметил, что защита данных пользователей Битрикс является приоритетом компании. В ней есть комплекс организационных и технических мероприятий по обеспечению безопасности сервисов и продуктов Битрикс. Компания активно привлекает независимую техническую экспертизу в рамках процессов разработки безопасного ПО в «1C-Битрикс», в частности, сотрудничает с Positive Technologies.

Плетнев указал, что благодаря многостороннему подходу компанией обеспечивается высокий уровень защиты данных. Он также призвал клиентов уделять внимание аспектам безопасности и использовать возможности, которые предоставляет компания. Среди них - настройка сложных паролей, включение двухфакторной аутентификации и оперативная установка обновлений безопасности. 

Ранее, в июне, в Positive Technologies сообщили об обнаружении уязвимости в сервисе для видеоконференций «Яндекс Телемост» для Windows. Там отметили, что злоумышленники могли бы использовать ее для закрепления на рабочей станции в корпоративной сети жертвы.