Центр кибербезопасности hoster.by обнаружил цепочку взломов сайтов, в основном интернет-магазинов. Уязвимость касается тех, кто использует продукты «Аспро» для веб-ресурсов на основе системы 1С-Битрикс.
Проблема актуальна для пользователей, не обновивших софт до версии Аспро: Next 1.9.9. Через уязвимость скриптов на серверы клиентов устанавливался вредоносный софт для скрытого майнинга.
«Своим клиентам мы помогли решить проблему, их ресурсы не пострадали из-за атаки. Но мы выяснили, что уязвимость позволяет не только устанавливать вредоносное ПО, но и получить доступ к данным – вплоть до логина и пароля к панели управления сайтом», – комментирует руководитель центра кибербезопасности hoster.by Антон Тростянко.
Специалисты по кибербезопасности hoster.by разработали инструкцию, с помощью которой вы или ваш IT-специалист можете проверить свой сайт и закрыть уязвимость самостоятельно. Более подробный технический материал с описанием проблемы можно найти на сайте hoster.by.
Как обнаружить уязвимость
Проблема касается исключительно пользователей продуктов «Аспро» до версии Аспро: Next 1.9.9, а не всех сайтов на 1С-Битрикс.
Атаки происходят через уязвимые скрипты reload_basket_fly.php, show_basket_fly.php, show_basket_popup.php.
Обнаружить их можно в директории пользователя bitrix ~/ajax/).
Они плохо проверяют пользовательский ввод и имеют ряд других слабых мест. Из-за этого становится возможным удаленное выполнение команд на вашем ресурсе.
Если вы обнаружили проблемные скрипты на своем ресурсе, необходимо:
1. Остановить все вредоносные процессы.
2. Сменить пароли всех используемых учетных записей 1C-Битрикс.
3. Обновить CMS и все ее модули до последних версий.
4. Если вы не можете быстро обновить ПО, внесите дополнения в скрипты reload_basket_fly.php, show_basket_fly.php, show_basket_popup.php. А именно – замените на $arParams = json_decode($_REQUEST["PARAMS"]). Этого дополнения хватит, чтобы злоумышленник не взломал сай, пока вы обновляете все модули, но недостаточно для корректной работы ресурса.
«Мы не нашли следов каких-либо деструктивных действий по отношению к чувствительной информации клиентов. Поэтому полагаем, что в инцидентах целью злоумышленников был заработок через майнинг криптовалюты, – уточнил Антон Тростянко. – Но не исключено, что это было только началом. Если бы центр кибербезопасности не отреагировал быстро, это могло бы привести к утечкам конфиденциальной информации или персональных данных».
Если у вас не получается самостоятельно решить проблему, пожалуйста, обращайтесь к специалистам.
Читайте также:
На чем работают сайты Байнета в 2024 году
Байнету 30 лет: как росла и менялась зона .BY
Риски использования искусственного интеллекта: самый полный классификатор
