BDU:2023-05857: Уязвимость модуля landing системы управления содержимым сайтов (CMS) 1С-Битрикс: Управление сайтом, позволяющая нарушителю выполнить команды ОС на уязвимом узле, получить контроль над ресурсами и проникнуть во внутреннюю сеть
Советую срочно обновить битрикс обновления до 23.850.0 и выше. Если нет возможности обновиться, то удалить модуль landing, если он не используется. Для надежности можно удалить директорию landing в директории bitrix сайта. Или например переименовать в _landing и вынести за пределы корня сайта (чтобы у злоумышленников не было возможности дотянуться до уязывимых файлов из этой папки). Обнаруженная уязвимость имеет максимальный уровень опасности (CVSS 10/10). Удаленное выполнение кода на уровне ОС без авторизации, поэтому в ближайшее время все уязвимые публичные битриксы будут атакованы. Как потенциальное временное решение можно ограничить доступ к битриксу по белому списку IP-адресов, если это возможно.
Описание уязвимости: Уязвимость модуля landing системы управления содержимым сайтов (CMS) 1С-Битрикс: Управление сайтом вызвана ошибками синхронизации при использовании общего ресурса. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить команды ОС на уязвимом узле, получить контроль над ресурсами и проникнуть во внутреннюю сеть Вендор: ООО «1С-Битрикс» Наименование ПО: 1С-Битрикс: Управление сайтом (запись в едином реестре российских программ №35) Версия ПО: до 23.850.0 Тип ПО: Прикладное ПО информационных систем Тип ошибки: Одновременное выполнение с использованием общего ресурса с неправильной синхронизацией («Ситуация гонки») Идентификатор типа ошибки: CWE-362 Класс уязвимости: Уязвимость кода Дата выявления: 13.09.2023 Уровень опасности уязвимости: Максимальный уровень опасности (базовая оценка CVSS 2.0 составляет 10, базовая оценка CVSS 3.0 составляет 10) Возможные меры по устранению уязвимости: Обновление программного продукта до версии landing 23.850.0 и выше Статус уязвимости: Подтверждена производителем Наличие эксплойта: Существует Способ эксплуатации: Манипулирование сроками и состоянием Способ устранения: Обновление программного обеспечения Информация об устранении: Уязвимость устранена Ссылки на источники: https://dev.1c-bitrix.ru/docs/versions.php?lang=ru&module=landing https://www.bitrix24.ru/features/box/box-versions.php?module=landing https://www.bitrix24.com/features/box/box-versions.php https://www.bitrix24.com/features/box/box-versions.php?module=landing https://safe-surf.ru/upload/VULN-new/VULN.2023-09-21.1.pdf