Компания «1С-Битрикс», разработчик популярных программных решений для управления сайтом и CRM, выпустила обновление ПО для устранения критической уязвимости. Эксперты Positive Technologies выявили уязвимость BDU:2023-05857 с максимальной оценкой 10 баллов по шкале CVSS 3.0 в системе управления сайтом «1С-Битрикс: Управление сайтом». Аналогичная уязвимость была также найдена в CRM-системе «Битрикс24». Вендор был уведомлен об угрозе в рамках политики ответственного разглашения и выпустил обновление ПО для устранения уязвимости.
По данным мониторинга экспертного центра безопасности Positive Technologies (PT Expert Security Center), на момент публикации вендором уведомления безопасности владельцы около 17 тыс. веб-ресурсов использовали уязвимую версию «1С-Битрикс: Управление сайтом». Больше всего таких сайтов были найдены в доменных зонах .RU, .BY, .KZ и.KG и .UA. Наиболее распространенная отрасль, в которой встречаются ресурсы с данной ошибкой, — электронная коммерция (11%).
Эксперты Positive Technologies отметили, что уязвимость позволяла удаленному пользователю выполнять произвольный код. Это давало потенциальному атакующему возможность запускать на узле любое ПО и манипулировать содержимым сайта и базой данных, а в случае наличия связности с локальной сетью — развивать атаку на внутренние ресурсы.
В результате специалисты пришли к тому, что для устранения уязвимости необходимо обновить модуль landing до версии 23.850.0 и выше. Обновление доступно всем пользователям при наличии PHP 8.0 (начиная с версии 23.300.100, пользователи, не обновившиеся до PHP 8.0, не получают обновления) и с активной лицензией. Остальные пользователи могут обратиться в техподдержку для получения патча или отключить модуль landing.