Поделиться
Эксперты Positive Technologies помогли усилить безопасность в системах «1С-Битрикс»
Эксперты Positive Technologies и «1С-Битрикс» с 2023 г. сотрудничают для выявления потенциальных уязвимостей и усиления безопасности. Привлечение сторонней технической экспертизы позволяет «1С-Битрикс» обеспечить высокий уровень защиты данных и повышает устойчивость систем. Об этом CNews сообщили представители Positive Technologies.
Недостатки безопасности уже устранены вендором и затрагивают только тех пользователей, которые не установили обновление.
Эксперты Positive Technologies отмечают, что реализовать данные векторы атак можно только в случае потери учетной записи из-за социальной инженерии либо успешного подбора пароля. Для усиления безопасности Всеволод Дергунов рекомендует строго контролировать учетные данные и усилить политику безопасности — в первую очередь через двухфакторную аутентификацию.
При успешной эксплуатации этих уязвимостей возможно расширение прав для предварительно скомпрометированной учетной записи. Вследствие этого могли произойти инциденты, связанные с несанкционированным доступом к пользовательским данным, включая информацию из системы «Битрикс» и взаимодействующих с ней приложений. Среди других возможных последствий — дальнейшее распространение атаки на внутренние ресурсы компании.
Закрытые уязвимости могли бы привести к удаленному исполнению произвольного кода (Remote Code Execution, RCE), но только в случае несанкционированного доступа в систему. Выявленные Дмитрием Прохоровым недостатки (BDU:2025-08663 и BDU:2025-08662 с одинаковой оценкой 7,1 балла по шкале CVSS 4.0) затронули версию 25.100.300 и были связаны с неправильным управлением привилегиями (Improper Privilege Management) и выходом за пределы назначенного каталога (Path Traversal).
Пользователям необходимо обновить компоненты в составе «1С-Битрикс: Управления сайтом» и «Битрикс24» — модуль main до версии 25.100.400, а модуль fileman до версии 24.500.100 или выше.
«Для эксплуатации уязвимостей было необходимо похитить легитимную учетную запись. Успешно воспользовавшись ошибками небезопасной десериализации, злоумышленник потенциально мог закрепиться в системе, найти пользовательские данные. Кроме того, он имел бы доступ к сведениям, которые могли расширить вектор нападения внутри периметра, упростив проведение атак на другие корпоративные ресурсы жертвы, — сказал Дмитрий Прохоров, специалист отдела анализа защищенности веб-приложений Positive Technologies. — Теоретически нарушитель мог читать локальные файлы на сервере, изучать исполняемые файлы и исходный код пользовательских скриптов PHP и сторонних плагинов «1С-Битрикс» на наличие в них уязвимостей. Была потенциальная возможность извлечь из файлов токены, логины и пароли к другим системам».
Всеволод Дергунов нашел недостатки безопасности в модуле iblock, предназначенном для работы с информационными блоками. С их помощью можно публиковать на сайтах каталоги товаров, новостные блоки и справочники. Для этого компонента разработчик опубликовал общую исправленную версию 24.300.100.
BDU:2025-08664 и BDU:2025-08665, набравшие по 6,9 балла по шкале CVSS 4.0, представляют собой уязвимости типа Relative Path Traversal, то есть позволяют атакующим манипулировать путями к файлам и папкам, находящимся за пределами разрешенных каталогов. Другой обнаруженный дефект (BDU:2025-08666, 8,9 балла по шкале CVSS 4.0) относится к классу PHP Local File Inclusion. Это значит, что приложение исполняет произвольные скрипты, путь к которым указывает сам пользователь.
Выявленные недостатки могли быть задействованы только злоумышленником, имеющим авторизованный доступ к системе с правами на управление информационными блоками в «1С-Битрикс».
В рамках стандартных операций настройки инфоблоков существовала возможность указать некорректные пути к файлам, что теоретически позволяло получить доступ к данным конфигурации «1С-Битрикс» и других систем, установленных на сервере. Однако для реализации такой атаки злоумышленнику потребовались бы не только действительные учетные данные, но и достаточные привилегии в системе.
«Использовав ошибку BDU:2025-08666, удаленный атакующий мог бы реализовать вектор атаки для получения контроля над серверами через загрузку и исполнение вредоносного кода. Предположительно, дальнейшие действия злоумышленника были бы связаны с попыткой закрепиться во внутренней сети», — отметил Всеволод Дергунов, старший специалист отдела анализа приложений Positive Technologies.
Продвинутые продукты классов NTA или NDR детектируют возможные попытки использования указанных уязвимостей, а продукты класса NGFW еще и блокируют их. Обнаружить недостатки безопасности в инфраструктуре помогают также системы класса vulnerability management. Для предотвращения атак, эксплуатирующих не только обнаруженные уязвимости, но и другие недостатки безопасности веб-приложений, эффективны решения класса web application firewall. Для раннего обнаружения недочетов в коде необходимо проверять его при помощи статических и динамических анализаторов.
«Защита данных пользователей «Битрикс» — наш приоритет. В компании реализован и постоянно совершенствуется комплекс организационных и технических мероприятий по обеспечению высокого уровня безопасности сервисов и продуктов «Битрикс». Наличие в наших решениях встроенных защитных механизмов позволяет существенно снижать риски компрометации. В рамках имплементированных процессов разработки безопасного программного обеспечения в «1С-Битрикс» мы активно привлекаем независимую техническую экспертизу. В частности, очень довольны сотрудничеством с компанией Positive Technologies и отмечаем результативность программы Standoff Bug Bounty. Благодаря многостороннему подходу нами обеспечивается высокий уровень защиты данных. Для сохранения взаимного доверия прошу наших клиентов также уделять внимание аспектам безопасности и пользоваться предоставляемыми нами возможностями, включая настройку сложных паролей, двухфакторную аутентификацию, оперативную установку обновлений безопасности», — отметил Леонид Плетнев, бизнес-партнер по информационной безопасности «1С-Битрикс».
Короткая ссылка
