Массовый взлом сайтов на Битриксе

byura

Разрушитель (V)
Сообщения
234
Симпатии
213
Баллы
3 928
Во вторник, 28 июня, владельцы порталов и сайтов на Битриксе столкнулись с массовым взломом своих проектов.
Из обсуждения на официальном форуме Битрикса известно, что злоумышленникам удалось получить полный доступ к множеству сайтов на базе этой CMS — вплоть до смены всех паролей и удаления данных.
  • Для осуществления взлома злоумышленники использовали несколько путей, в том числе:
через уязвимость модуля vote (версия ниже 21.0.100). Уязвимость позволяет нарушителям воспользоваться возможностью отправки специально сформированных сетевых пакетов и записывать произвольные файлы в систему;
через встроенный редактор html.
  • Если у вас есть проекты на Битриксе, рекомендуем обновить CMS до последней версии. В версии 21.0.1 модуля vote уже исправлены ошибки безопасности. Также советуем проверить наличие корректных резервных копий сайтов.
Если у вас нет бэкапов, не откладывайте их создание.

BDU:2022-01141 https://bdu.fstec.ru/vul/2022-01141
 
В редакции Старт данного модуля НЕТ
 
Их там в последнее время очень много находят, без постоянного апдейта коробка очень уязвима =(
В Битрикс24 v22.0.300 обнаружены многочисленные уязвимости повышенной опасности. К ним относятся удаленное выполнение команд, межсайтовый скриптинг, подмена прототипов, небезопасный доступ к файлам и отказ в обслуживании.

🔗 CVE-2023-1713 (RCE) November 1, 2023 — Удаленное выполнение команд (RCE) в Битрикс24 через небезопасное создание временных файлов.

Небезопасное создание временных файлов в файле bitrix/modules/crm/lib/order/import/instagram.php в Битрикс24 22.0.300, размещенном на HTTP-сервере Apache, позволяет удаленным аутентифицированным злоумышленникам выполнить произвольный код через загрузку созданного файла ".htaccess".

🔗 CVE-2023-1714 (RCE) November 1, 2023 — Удаленное выполнение команд (RCE) в Битрикс24 через небезопасное извлечение переменных.

Небезопасное извлечение переменных в файле bitrix/modules/main/classes/general/user_options.php в Битрикс24 22.0.300 позволяет удаленным аутентифицированным злоумышленникам выполнить произвольный код через (1) добавление произвольного содержимого в существующие PHP-файлы или (2) десериализацию PHAR.

🔗 CVE-2023-1715 (XSS) November 1, 2023 — (CVE-2023-1715 & CVE-2023-1716) Bitrix24 Stored Cross-Site Scripting (XSS) via Improper Input Neutralization on Invoice Edit Page.

(CVE-2023-1715): Логическая ошибка при использовании функции mb_strpos() для проверки потенциальной XSS полезной нагрузки в Битрикс24 22.0.300 позволяет злоумышленникам обойти XSS-санитарию путем размещения HTML-тегов в начале полезной нагрузки. (CVE-2023-1716): Межсайтовая скриптинговая (XSS) уязвимость в странице редактирования счетов-фактур в Битрикс24 22.0.300 позволяет злоумышленникам выполнить произвольный JavaScript-код в браузере жертвы и, возможно, выполнить произвольный PHP-код на сервере, если жертва имеет привилегии администратора.

🔗 CVE-2023-1717 (XSS) November 1, 2023 — Межсайтовый скриптинг (XSS) в Битрикс24 через уязвимость прототипа на стороне клиента

Загрязнение прототипов в bitrix/templates/bitrix24/components/bitrix/menu/left_vertical/script.js в Битрикс24 22.0.300 позволяет удаленным злоумышленникам через загрязнение __proto__[tag] и __proto__[text] выполнить произвольный JavaScript-код в браузере жертвы и, возможно, выполнить произвольный PHP-код на сервере, если жертва обладает привилегиями администратора.

🔗 CVE-2023-1718 (DoS) — Bitrix24 Denial-of-Service (DoS) via Improper File Stream Access

Некорректный доступ к файловому потоку в файле /desktop_app/file.ajax.php?action=uploadfile в Битрикс24 22.0.300 позволяет неаутентифицированным удаленным злоумышленникам вызвать отказ в обслуживании с помощью созданного "tmp_url".

🔗 CVE-2023-1719 (IDOR) — Небезопасное извлечение глобальных переменных в Битрикс24

Извлечение глобальных переменных в файле bitrix/modules/main/tools.php в Битрикс24 22.0.300 позволяет неавторизованным удаленным злоумышленникам (1) перечислить вложения на сервере и (2) выполнить произвольный JavaScript-код в браузере жертвы, а также, возможно, выполнить произвольный PHP-код на сервере при наличии привилегий администратора, путем перезаписи неинициализированных переменных.
 
Назад
Верх