Анализ сведений об угрозах безопасности информации
Анализ сведений об угрозах безопасности информации, проводимый специалистами ФСТЭК России в условиях сложившейся обстановки, показывает, что зарубежными хакерскими группировками при реализации компьютерных атак на информационную инфраструктуру Российской Федерации активно эксплуатируются уязвимости программного обеспечения.
В ФСТЭК России имеется информация о массовом дефейсе веб-серверов национального сегмента сети Интернет, связанном с эксплуатацией уязвимости программного обеспечения « I С-Битрикс: Управление сайтом».
С целью предотвращения реализации угроз безопасности информации, связанных с эксплуатацией уязвимости, прошу Ваших указаний на устранение уязвимости модуля «vote» системы управления содержимым сайтов (CMS) « С-Битрикс: Управление сайтом» (BDU •0 022-Ol 141, уровень опасности по CVSS 3.0 критический), связанной с возможностью отправки специально сформированных сетевых пакетов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, записать произвольные файлы в уязвимую систему.
Кроме того, в основную кодовую базу «1С-Битрикс: Управление сайтом» входит служебный модуль «flleman», реализующий возможность визуального НТМЕредактора. В составе этого модуля присутствует уязвимый скрипт "html editor_action.php". Эксплуатация уязвимости этого файла аналогично уязвимости позволяет нарушителю удаленно выполнять произвольный код на целевой системе.
В целях предотвращения возможности эксплуатации указанной уязвимости рекомендуется установить обновление указанного программного обеспечения до актуальной версии в соответствии с Методикой тестирования обновлений безопасности программных, программно-аппаратных средств, утвержденной ФСТЭК России 28 октября 2022 г., а также Методикой оценки уровня критичности программных, программно-аппаратных средств, утвержденной ФСТЭК России 28 октября (fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/114spetsialnye-normativnye-dokumenty)
В случае невозможности установки обновления программного обеспечения необходимо принять следующие компенсирующие меры:
осуществить перевод сайта на актуальную версию РНР 8; установить и настроить модули « I С-Битрикс: Управление сайтом»
«Проактивный фильтр (Web Application Firewall)» и «Контроль активности»; выполнить проверку средствами «Сканера безопасности»; закрыть доступ к следующим файлам на уровне сервера (например, в .htaccess):
/bitrix/modules/main/include/virtual flle_system.php,
/bitrix/components/bitrix/sender.mail.editor/ajax.php,
/bitrix/tools/html editor_action.p.
Применять механизмы контроля целостности; осуществить проверку журналов и включить журналирование событий доступа и ошибок.