Рассказываем, как хакеры взломали тысячи сайтов на CMS Bitrix и что делать, чтобы не стать жертвой. В конце мая 2023 года в сети интернет произошел массовый дефейс веб-серверов национального сегмента РФ, которые использовали CMS «1С-Битрикс: Управление сайтом». Злоумышленники эксплуатировали известную уязвимость в модуле «Опросы, голосования» (CVE-2022-27228), позволяющую записывать произвольные файлы и выполнять команды ОС. Эксперты провели анализ атаки и подготовили рекомендации по применению компенсирующих мер и реагированию на инциденты, связанные с CMS Bitrix. В документе описаны технические детали атаки, способы обнаружения и удаления бэкдора, а также меры по повышению безопасности сайтов на CMS Bitrix. Согласно исследованию, злоумышленники начали взламывать сайты еще в 2022 году через уязвимость CVE-2022-27228, которая была обнаружена и исправлена разработчиками CMS Bitrix в марте 2022 года. Взломанные сайты получали бэкдор, который позволял злоумышленникам создавать произвольные файлы и выполнять команды ОС. Эксперты CyberOK отмечают, что восстановление сайта из резервной копии не решает проблему, поскольку восстанавливается и бэкдор, который дает возможность злоумышленникам повторить атаку. Кроме того, если уязвимость не была устранена, злоумышленники могут снова взломать сервер и установить модификацию бэкдора, что наблюдается в настоящий момент. Обновить CMS Bitrix до последней версии; Проверить наличие бэкдора по указанным в документе признакам; Удалить бэкдор и все подозрительные файлы; Изменить пароли доступа к серверу и базе данных; Настроить фаервол и защиту от DDoS-атак; Регулярно делать резервные копии сайта.SecurityLab.ru