Про бытовую информационную безопасность можно услышать из каждого утюга - как мошенники обманули бабушку или заставили профессора МГИМО выполнять всякие странные вещи. А вот про корпоративную безопасность разговоров не так много.
Ранее я уже писал про риски использования корпоративной почты на домене.
Сегодня расскажу про другую фундаментальную опасность - это вирусы.
Как говорят одни ученые, вирусы в природе появились вместе с клеткой, а другие считают что вирусы существовали еще до появления клеток. В общем, вирусы были всегда.
Так же и в информационных технологиях - вирусы как минимум появились с первыми компьютерами и технологиями, которые их обслуживают. Сейчас вирусы есть везде.
Сегодня я не буду рассказывать про комплексную корпоративную безопасность - это было бы мучительно долго.
А расскажу поучительную историю, связанную с непосредственным влиянием вирусной активности на малый и средний бизнес в сети.
С чего все начинается
Начинается все с набега печенегов выбора системы управления, на которой будет работать ваш сайт. На самом деле систем управления сотни и тысячи - под любой вид сайта, отрасль, платные и бесплатные, безопасные и не очень.
Увы, но Выбор системы управления сайта зачастую «кладется» на совесть подрядчика-разработчика. Будем честны - клиент редко выбирает систему управления сайта сам, даже если отлично знает устройство своего бизнеса и может помочь в этом выборе, если его спросят.
Причина этому банальна:
- так проще
- так выгоднее
Конечно, подрядчику.
Итак, к делу. В России есть массовый гигант, предлагающий свои услуги в E-Commerce - это 1с Bitrix, один из примеров, надо признаться, довольно качественного продукта - и логичное распространение которого в русскоязычном интернете выросло довольно внушительными темпами и достигло пика в 2020 году. В последние 2 года правда гегемония несколько снизилось.
Как видим, если не считать бесплатный Wordpress (который я убрал из выборки) - то 1с-Битрикс является одной из наиболее популярных CMS в рунете и очень часто используется в E-Commerce тематике.
Судя по приведенным выше данным, на 2020 год в русскоязычном интернете было порядка как минимум 170 000 действующих сайтов на различных версиях 1c-Bitrix, возможно, включая и Ваш сайт.
Процедура «выбора» этой CMS довольно проста, если в нескольких словах: 1с предлагает коробочную версию и «полностью отвечает» за продукт. Подрядчик «просто продает лицензию», получает комиссионное вознаграждение за продажу лицензии, и полную стоимость работ по доработкам. Т.е. по сути система была популяризирована через агентский маркетинг и в целом успешно выполняла функцию «товара широкого потребления»... до одного момента.
Коробочные версии, цена лицензий которых доходит до цифр с 7 нулями - предполагают что над ними трудятся целые команды профессионалов, которые несут ответственность за свое детище. Ну, разумеется, так думают те, кто их покупает.
И вот наступает тот самый момент...
Что случилось?
А однажды, между фуршетами, по поводу квартальных премий - случилось нечто не очень хорошее.
03.03.2022 НКЦКИ (Национальный Координационный Центр по Компьютерным Инцидентам) выпустил бюллетень ALRT-20220303.2, в котором сообщалось о найденной 0-day уязвимости в модуле «vote» CMS 1С-Битрикс — системе опросов и голосований посетителей сайта. Уязвимость актуальна до версии 22.0.400 всех редакций.
11.03.2022 года разработчик _оперативно_ исправил уязвимость и обновил модуль vote до версии 21.0.100, а саму CMS до версии 22.0.400.
В целом 8 дней на устранение критической уязвимости - у нас считается довольно «оперативным». Это не сарказм. Ну, бывает. Кто-то отзывает сотни тысяч проданных премиальных автомобилей, а тут всего лишь российский ИТ продукт.
Тогда, в разгар известных событий, никто на это вообще не обратил никакого внимания! Ну как, никто... конечно, кто-то обратил.
Что же делать что делать?
Казалось бы - разработчик должен принудительно обновить все свои лицензии и закрыть вопрос. Все-таки деньги то уже оплачены - лицензии куплены, и заявленная безопасность, как оказалось, не была осуществлена. В проданных машинах тоже заводские проблемы решаются в сервисных центрах, практически всегда - это бесплатно для покупателя.
Однако что-то тут пошло не так. Разработчик не обновил свои сайты автоматически, а лишь порекомендовал обновить систему администраторам сайта, опубликовав, к слову, весьма оперативно, сообщение в центре информирования.
Главная же проблема возникла в том, что для обновления системы пользователям требовалось включить техподдержку, т.е. вновь купить лицензию (если старая техподдержка истекла).
На минуточку - на некоторых лицензиях продление может составлять 83 900 руб. за лицензию Бизнес или 40 900 руб. за Малый Бизнес. (по данным за 2024 год)
Получается, всем старым пользователям 1с Битрикс, которые сделали сайт, но не продлили техподдержку - нужно было заплатить, купить дополнительную лицензию и обновиться, чтобы закрыть критическую уязвимость разработчика.
Ничего личного, это просто бизнес (с)
Что было дальше?
Дальше произошло то, что должно было произойти.
- Часть администраторов сайта, а тем более владельцев бизнеса - вообще ничего не узнали о необходимости обновления и об уровне опасности данной уязвимости. Т.к. не читают бюллетень разработчика.
- Кто-то узнал (например, подрядчики-агенты), но не придал этому большого значения или попытались продать услугу обновления вместе с новой лицензией.
- Еще часть - все поняла, не стала платить за продление техподдержки ради только одного обновления.
- Еще один момент - это крупные клиенты с огромными сайтами, которые были интегрированы на системе. Оплата такой лицензии (Enterprise Edition) стоит несколько миллионов, и ее продление еще нужно согласовать, т.к. средства, скорее всего, бюджетные.
В сухом итоге: уязвимость осталась открытой на огромном количестве сайтов, работающих на системе.
Что касается тех кто «обновился» или даже «оплатил», то даже те самое 8 дней «поиска известной уязвимости» от разработчика - позволили злоумышленникам осуществить внедрение BackDoor's (бэкдуров, или «окон уязвимостей») на сервера, и даже после закрытия уязвимости сайты - они уже были скомпроментированы и уже подлежали работе по поиску и закрытию уязвимостей.
«Проблема 8 дней» заключается в том, что публикации уязвимостей сайтов подобных НКЦКИ читают прежде всего «хакеры» всех мастей от любителей до профессионалов, а не «сотрудники информационной безопасности», которых еще нужно найти.
Им (хакерам) не надо 8 дней, им достаточно 1 дня между публикацией и устранением уязвимости, чтобы воспользоваться этим и заразить как можно большее число сайтов с известной системой управления. Для этого даже любезно есть выложенные каталоги сайтов на Bitrix.
Взлом с целью напакостить - не самое опасное. Компрометация серверов означала, что простым обновлением уже не решить ситуацию, т.к. через известную уязвимость на сайт уже были залиты другие, неизвестные, в т.ч. сгенерированные уязвимости.
Ну и что такого?
Спросит читатель. Ну, вирусы попали - что поделаешь, бывает.
Во-первых, массовость взлома привела к массовому выходу из строя сайтов платного сегмента E-Commerce.
Во-вторых, залитые в 8 дней (и позже) уязвимости использовались в дальнейшем для спланированных массовых атак:
- так, например 28 июня 2022 года осуществились «массовые взломы российских сайтов с размещением на них поздравлений с Днем Конституции Украины»
- 25 февраля 2023 так же был проведен массовый взлом сайтов на 1С-Битрикс из-за уязвимостей ядра и старых версий модулей vote (знакомо?) и html_editor.
Битрикс даже поспешили опровергнуть и переложить ответственность на самих клиентов (а вы как думали?!):
«Все случаи взломов связаны с отсутствием обновлений сайтов со стороны клиентов. Все уязвимости были устранены несколько месяцев назад, бесплатные обновления были выпущены. Клиенты были проинформированы», — заявили в «1С-Битрикс». (с) https://www.rbc.ru/rbcfreenews/62bc793d9a794732b41a4d58
Клиент всегда прав? Да нет! Клиент всегда виноват! Точка!
Что касается бесплатных обновлений - Битрикс тут несколько лукавит. Обновления конечно бесплатные, но чтобы их установить - нужно сначала продлить лицензию, а чтобы ее продлить, нужно заплатить. Выходит, части пользователей - чтобы нужно было заплатить, чтобы закрыть дыру.
На минуточку:
Среди крупных организаций, сайты которых подверглись накануне атакам, — Росреестр и Совет по правам человека. Сначала на обоих сайтах отображалось поздравление с Днем украинской Конституции, затем они перестали быть доступными. (с)
Какова ответственность в произошедшей халатности производителя продукта, а так же подрядчика, обслуживающего сайты?
Печальный итог
Итоги подводить еще рано, т.к. большая часть сайтов на 1c-Bitrix по прежнему содержат либо те же самые уязвимости, либо уязвимости, оставленные в следствие взлома.
И не во всех случаях истории заканчивались успешно:
В некоторых случаях работоспособность сайтов нарушалась перед выходными или длительными праздниками, и обнаружить вредоносное воздействие клиенту удавалось лишь спустя 5-7 дней.
В одном из таких случаев вирусный код удалил весь сайт, оставив только страницу вредоносным с поздравлением.
Когда клиент обратился за восстановлением - оказалось, что время ротации резервных копий на хостинге уже закончилось, т.е. восстановить сайт не было технической возможности.
Что же делать?
Конечно, следить за информационной безопасностью своего проекта, бизнеса. Не полагайтесь на разработчика или подрядчика в этом вопросе или контролируйте вопрос в протокольном порядке (с внесением соответствующего пункта в договор по обслуживанию сайта). В таких случаях вы сможете найти крайнего, если что-то пойдет совсем не так и не туда...
