Загрузка...BDU:2023-05857: Уязвимость модуля landing системы управления содержимым сайтов (CMS) 1С-Битрикс: Управление сайтом, позволяющая нарушителю выполнить команды ОС на уязвимом узле, получить контроль над ресурсами и проникнуть во внутреннюю сеть
Советую срочно обновить битрикс обновления до 23.850.0 и выше. Если нет возможности обновиться, то удалить модуль landing, если он не используется.
Для надежности можно удалить директорию landing в директории bitrix сайта. Или например переименовать в _landing и вынести за пределы корня сайта (чтобы у злоумышленников не было возможности дотянуться до уязывимых файлов из этой папки).
Обнаруженная уязвимость имеет максимальный уровень опасности (CVSS 10/10). Удаленное выполнение кода на уровне ОС без авторизации, поэтому в ближайшее время все уязвимые публичные битриксы будут атакованы.
Как потенциальное временное решение можно ограничить доступ к битриксу по белому списку IP-адресов, если это возможно.
Описание уязвимости: Уязвимость модуля landing системы управления содержимым сайтов (CMS) 1С-Битрикс: Управление сайтом вызвана ошибками синхронизации при использовании общего ресурса. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить команды ОС на уязвимом узле, получить контроль над ресурсами и проникнуть во внутреннюю сеть
Вендор: ООО «1С-Битрикс»
Наименование ПО: 1С-Битрикс: Управление сайтом (запись в едином реестре российских программ №35)
Версия ПО: до 23.850.0
Тип ПО: Прикладное ПО информационных систем
Тип ошибки: Одновременное выполнение с использованием общего ресурса с неправильной синхронизацией («Ситуация гонки»)
Идентификатор типа ошибки: CWE-362
Класс уязвимости: Уязвимость кода
Дата выявления: 13.09.2023
Уровень опасности уязвимости: Максимальный уровень опасности (базовая оценка CVSS 2.0 составляет 10, базовая оценка CVSS 3.0 составляет 10)
Возможные меры по устранению уязвимости: Обновление программного продукта до версии landing 23.850.0 и выше
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует
Способ эксплуатации: Манипулирование сроками и состоянием
Способ устранения: Обновление программного обеспечения
Информация об устранении: Уязвимость устранена
Ссылки на источники:
https://dev.1c-bitrix.ru/docs/versions.php?lang=ru&module=landing
https://www.bitrix24.ru/features/box/box-versions.php?module=landing
https://www.bitrix24.com/features/box/box-versions.php
https://www.bitrix24.com/features/box/box-versions.php?module=landing
https://safe-surf.ru/upload/VULN-new/VULN.2023-09-21.1.pdf
