Популярное
Свежее
Моя лента
Сообщения
Обзор
Курсы
Темы
Деньги
Крипто
Маркетинг
Сервисы
Маркетплейсы
Личный опыт
Мнения
Путешествия
Карьера
Техника
Показать все
vc.ru
О проекте
Правила
Реклама
Приложения
Евгений Ипатов
Разработка

Новая критическая уязвимость «1С-Битрикс: Управление сайтом»

13 сентября 2023 нашли новую серьезную уязвимость в «1С-Битрикс: Управление сайтом». Странно, но за три недели еще ни разу не видел эту новость ни на одном из технических и новостных ресурсов. Заполню этот пробел.

Новая критическая уязвимость «1С-Битрикс: Управление сайтом»

Новая уязвимость 1С-Битрикс позволяет злоумышленникам подсунуть свои команды на сервер, с помощью которых уже можно делать что угодно на сервере: получать доступ к файлам, подсовывать свои скрипты, получать доступ к мощностям сервера и доступ к сети.Официальный отчет об уязвимости есть на сайте ФСТЭК РФ: ссылка.

Примечание: сайт ФСТЭК работает на национальном SSL-сертификате, который доступен только в Яндекс Браузере, в других браузерах сайт открывается с сообщением о недействительном сертификате.

Проблемный код 1С-Битрикс находится в модуле «Сайты 24», который редко используется, но по умолчанию включен во всех редакциях 1С-Битрикса, начиная с самой простой – «Старт» и заканчивая максимальной – «Энтерпрайз».

Новая критическая уязвимость «1С-Битрикс: Управление сайтом»

Битрикс быстро отреагировал на проблему, исправил код и уже на следующий день(14 сентября) выпустил обновления, которые закрывают уязвимость и рекомендует обновиться немедленно. Официальный сайт с описанием обновления: ссылка. Чтобы скачать и установить обновление, должна быть активная лицензия Битрикс. Но не на всех проектах ежегодно продляют лицензию, поскольку сайт и без нее работает, только перестает получать обновления. Поэтому ниже описание, как проще всего закрыть уязвимость без обновлений.

Как уже писал, уязвимость находится в модуле «Сайты 24» – это конструктор страниц. Я на своей практике не видел ни одного сайта, где бы этот функционал использовался. Поэтому рекомендую просто удалить модуль. При чем отключение и удаление модуля через админку не защищает от уязвимости – остаются файлы модуля, через которые можно эксплуатировать уязвимость. Для полного закрытия «дыры» нужно отключить модуль в админке и удалить всю его папку с сервера/хостинга. Папка модуля находится тут: /bitrix/modules/landing/. Нужно удалять всю директорию landing и все вложенные в нее файлы и папки.

В завершение хочу добавить, что детально уязвимость мы с командой не изучали, поскольку не используем этот модуль в своих и клиентских проектах. Поэтому если у кого-то есть дополнительная информация по теме, вопросы или просто нужна консультация – пишите мне в личку: Евгений Ипатов или в комменты телеграм-канала «БАГодельня», где так же подсвечивал эту тему.

Начать дискуссию