Мәгълүмат иминлеге куркынычы турында белешмәләрне анализлау

Россия Федерациясенең мәгълүмат инфраструктурасына компьютер һөҗүмнәрен гамәлгә ашырганда чит ил хакерлык төркемнәре тарафыннан программа тәэминаты куркынычсызлыгы актив файдаланыла.

Россиянең ФСТЭК-сында I с-Битрикс: сайт белән идарә итү программа тәэминаты куркынычлыгын эксплуатацияләү белән бәйле Интернет челтәренең милли сегменты веб-серверларының массакүләм дефейсы турында мәгълүмат бар.

Куркынычсызлыкны эксплуатацияләүгә бәйле мәгълүматның куркынычсызлыгына куркыныч янауны булдырмау максатында, Сезнең күрсәтмәләрегезне үз эченә алынган сайтлар белән идарә итү системасының (CMS) « С-Битрикс: Сайт белән идарә итү" (BDU \82260; 022-Ol 141, CVSS 3.0 тәнкыйть белән куркыныч дәрәҗәсе), махсус формалаштырылган челтәр пакетларын җибәрү мөмкинлеге белән бәйле. Җәфалануны эксплуатацияләү читтән торып эш итүче хокук бозучыга ирекле файлларны куркынычлык системага язып куярга мөмкинлек бирә ала.

Моннан тыш, төп код базасына 1С-Битрикс: сайт белән идарә итү визуаль Нтмередактор мөмкинлеген гамәлгә ашыручы flleman хезмәт модуле керә. Бу модуль составында " html editor_action.php". Бу файлның куркынычсызлыгын эксплуатацияләү, куркынычсызлык кебек үк, бозучыга максатчан системада теләсә нинди кодны читтән торып башкарырга мөмкинлек бирә.

Күрсәтелгән куркынычсызлыкны эксплуатацияләү мөмкинлеген булдырмау максатыннан күрсәтелгән программа тәэминатын актуаль версиягә кадәр яңартуны Россия Федераль куркынычсызлык хезмәте тарафыннан 2022 елның 28 октябрендә расланган программа, программа-аппарат чараларының куркынычсызлык яңартуларын сынау методикасына, шулай ук Россия Федераль куркынычсызлык хезмәте тарафыннан расланган программа, программа-аппарат чараларының критик дәрәҗәсен бәяләү методикасына (fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/114spetsialnye-normativnye-dokumenty)

Программа тәэмин ителешен яңарту мөмкинлеге булмаса, түбәндәге компенсацияләү чараларын күрергә кирәк:

Сайтны РНРның 8 актуаль версиясенә күчерергә; 1 С-Битрикс: Сайт белән идарә итү» модулен урнаштырырга һәм көйләргә

«Проактив фильтр (Web Application Firewall)» һәм «Контроль активлык»; «Сканера безопасности»; сервер дәрәҗәсендә киләсе файлларга керү мөмкинлеген ябарга (мәсәлән, htaccess):

/bitrix/tools/mail entry.php,

/bitrix/modules/main/include/virtual flle_system.php,

/bitrix/components/bitrix/sender.mail.editor/ajax.php,

/bitrix/tools/html editor_action.

бөтенлекне контрольдә тоту механизмнарын кулланырга; журналларны тикшерергә һәм тарихларны журналлаштыруны кертү һәм хаталарны кертергә.