Найти в Дзене
Экономическая газета Республика Беларусь/www.neg.by
2066 подписчиков

Проверьте свой сайт: SOC hoster.by раскрыл цепочку взломов интернет-магазинов

8
2 мин
Центр кибербезопасности hoster.by обнаружил цепочку взломов сайтов,  в основном интернет-магазинов. Уязвимость касается тех, кто использует продукты «Аспро» для веб-ресурсов на основе системы 1С-Битрикс. Проблема актуальна для пользователей, не обновивших софт до версии Аспро: Next 1.9.9. Через уязвимость скриптов на серверы клиентов устанавливался вредоносный софт для скрытого майнинга. «Своим клиентам мы помогли решить проблему, их ресурсы не пострадали из-за атаки. Но мы выяснили, что уязвимость позволяет не только устанавливать вредоносное ПО, но и получить доступ к данным – вплоть до логина и пароля к панели управления сайтом», – комментирует руководитель центра кибербезопасности hoster.by Антон Тростянко. Специалисты по кибербезопасности hoster.by разработали инструкцию, с помощью которой вы или ваш IT-специалист можете проверить свой сайт и закрыть уязвимость самостоятельно. Более подробный технический материал с описанием проблемы можно найти на сайте hoster.by. Проблема касает
Оглавление

Фото: hoster.by
Фото: hoster.by

Центр кибербезопасности hoster.by обнаружил цепочку взломов сайтов,  в основном интернет-магазинов. Уязвимость касается тех, кто использует продукты «Аспро» для веб-ресурсов на основе системы 1С-Битрикс.

Проблема актуальна для пользователей, не обновивших софт до версии Аспро: Next 1.9.9. Через уязвимость скриптов на серверы клиентов устанавливался вредоносный софт для скрытого майнинга.

«Своим клиентам мы помогли решить проблему, их ресурсы не пострадали из-за атаки. Но мы выяснили, что уязвимость позволяет не только устанавливать вредоносное ПО, но и получить доступ к данным – вплоть до логина и пароля к панели управления сайтом», – комментирует руководитель центра кибербезопасности hoster.by Антон Тростянко.

Специалисты по кибербезопасности hoster.by разработали инструкцию, с помощью которой вы или ваш IT-специалист можете проверить свой сайт и закрыть уязвимость самостоятельно. Более подробный технический материал с описанием проблемы можно найти на сайте hoster.by.

Как обнаружить уязвимость

Проблема касается исключительно пользователей продуктов «Аспро» до версии Аспро: Next 1.9.9, а не всех сайтов на 1С-Битрикс.

Атаки происходят через уязвимые скрипты reload_basket_fly.php, show_basket_fly.php, show_basket_popup.php.

Обнаружить их можно в директории пользователя bitrix ~/ajax/).

Они плохо проверяют пользовательский ввод и имеют ряд других слабых мест. Из-за этого становится возможным удаленное выполнение команд на вашем ресурсе.

-2

Если вы обнаружили проблемные скрипты на своем ресурсе, необходимо:

1. Остановить все вредоносные процессы.

2. Сменить пароли всех используемых учетных записей 1C-Битрикс.

3. Обновить CMS и все ее модули до последних версий.

4. Если вы не можете быстро обновить ПО, внесите дополнения в скрипты reload_basket_fly.php, show_basket_fly.php, show_basket_popup.php. А именно – замените на $arParams = json_decode($_REQUEST["PARAMS"]).  Этого дополнения хватит, чтобы злоумышленник не взломал сай, пока вы обновляете все модули, но недостаточно для корректной работы ресурса.

«Мы не нашли следов каких-либо деструктивных действий по отношению к чувствительной информации клиентов. Поэтому полагаем, что в инцидентах целью злоумышленников был заработок через майнинг криптовалюты, – уточнил Антон Тростянко.Но не исключено, что это было только началом. Если бы центр кибербезопасности не отреагировал быстро, это могло бы привести к утечкам конфиденциальной информации или персональных данных».

Если у вас не получается самостоятельно решить проблему, пожалуйста, обращайтесь к специалистам.

Читайте также:

На чем работают сайты Байнета в 2024 году

Байнету 30 лет: как росла и менялась зона .BY

Риски использования искусственного интеллекта: самый полный классификатор

Кибербезопасность
25,6 тыс интересуются