Банк данных угроз и безопасности информации Федеральной службы по техническому и экспортному контролю (ФТСЭК) зарегистрировал восемь уязвимостей ИТ-сервиса для управления бизнесом «Битрикс24». Теоретически уязвимости могут стать причиной незаконного доступа к защищаемой информации сервиса.
При этом в беседе с РБК представитель «1С-Битрикс» заявил, что все облачные версии «Битрикс24» «давно обновлены и защищены от этих уязвимостей». Он уточнил, что последние объявленные уязвимости не могут использовать анонимные внешние посетители. Они доступны только для внутренних пользователей с большими полномочиями.
Информация о проблемах сервиса «Битрикс24» появилась в базе ФТСЭК 1 ноября. Согласно ей, эти уязвимости позволяют выполнить произвольный JavaScript-код, а также атаковать межсайтовый скриптинг (XSS). Уязвимостям присвоили «критический уровень опасности». Что касается информации об их устранении, то она в базе отсутствует.
По словам бизнес-консультанта по информационной безопасности компании Positive Technologies Алексея Лукацкого, который первым обратил внимание на появление уязвимостей в базе, ФСТЭК отвечает за техническую защиту конфиденциальной информации госорганов и владельцев критической информационной инфраструктуры. Критичные уязвимости должны устраняться в течение 24 часов, а менее критичные — от семи до 30 дней.
Сервис «Битрикс24» принадлежит компании «1С-Битрикс». Она разрабатывает системы управления веб-проектами и корпоративными порталами. Портал предоставляет доступ к корпоративному чату, диску, календарю, группам и другим инструментам, а также системе управления продажами и коммуникациями с клиентами (CRM), контакт-центру. В 2021 году на сервисе насчитали 10 млн зарегистрированных компаний.
Ранее компания «Антифишинг» представила программу Start REQ, которая заточена на поиске уязвимых мест в программном обеспечении (ПО) еще на этапе разработки. По словам создателей, программистам необходимо заполнить анкету, после чего они получат список законов, требований безопасности и регламентов к своему продукту.