В ходе проведения работ по оценке эффективности защищенности объектов информационной инфраструктуры национального сегмента сети Интернет центр кибербезопасности (SOC) hoster.by совместно с Национальным центром кибербезопасности Республики Беларусь выявил критические уязвимости ряда веб-ресурсов и предотвратил кибератаку, которая могла затронуть по меньшей мере десятки сайтов, в том числе интернет-магазинов.
Злоумышленники пытались воспользоваться уязвимостью в программных продуктах «Аспро» для интернет-ресурсов на 1С-Битрикс. Проблема в ряде скриптов позволяет получить доступ к внутренним данным веб-проекта, а также размещать вредоносные файлы: например, для скрытого майнинга. Подробное описание уязвимости есть на сайте hoster.by.
«Благодаря быстрой реакции на киберинцидент злоумышленники не успели нанести какого-либо вреда большинству проектов. Компания-разработчик уже выпустила патчер безопасности, который мы настоятельно рекомендуем установить их пользователям. Также хочу еще раз напомнить о важности своевременно обновлять все программные продукты, которыми вы пользуетесь. Особенно системы управления сайтом или CMS, поскольку они часто становятся уязвимыми для атак из-за устаревших версий», — прокомментировал генеральный директор hoster.by Сергей Повалишев.
Как обнаружить и решить проблему
Первый способ закрыть уязвимость — воспользоваться патчером безопасности, который выпустила компания-разработчик. Вспомогательный PHP-скрипт от «Аспро» для работы с файлами модулей обнаружит и обработает данную уязвимость, а также исправит небезопасные реализации unserialize. При использовании патчера безопасности следует руководствоваться рекомендациями разработчика и применять скрипт с осторожностью, поскольку внесенные изменения могут повлиять на работу вашей системы.
Второй способ решить проблему — сделать это вручную. Проверьте, есть ли по следующему пути /корневая директория сайта/ajax/ файлы error_log_logic.php или js_error.txt. Если хотя бы один из них есть, то скорее всего в отношении вашего ресурса уже были попытки эксплуатации уязвимости.
1) Удалите файл error_log_logic.php, при наличии удалите js_error.txt, js_error.php.
2) Исправьте следующий код в файлах ./form/index.php и /ajax/form.php:
В файлах /form/index.php и /ajax/form.php:
Замените строку
elseif($form_id == 'TABLES_SIZE'):
на
elseif($form_id == 'TABLES_SIZE' && false):
В таком случае полностью устраняется вероятность чтения файлов через form/index.php или /ajax/form.php и создание файла js_error.txt через error_log_logic.php. Этого достаточно, чтобы злоумышленник не взломал сайт, пока вы обновляете все модули, но недостаточно для корректной работы ресурса.
Также необходимо проверить ресурс на наличие вредоносных процессов и, при их наличии, остановить их. После этого обязательно смените пароли всех используемых учетных записей 1C-Битрикс. А затем проверьте, есть ли в административной части сайта нелегитимные пользователи, и удалите их.
Если вам необходима помощь в устранении проблемы, вы можете связаться с центром кибербезопасности hoster.by, даже если ваш сайт размещается у другого провайдера. Туда же вы в любое время суток можете сообщить о киберинцеденте: +375 17 239-57-17 security@hoster.by.