Эксперты Positive Technologies помогли усилить безопасность в системах «1С-Битрикс»

Эксперты Positive Technologies и «1С-Битрикс» с 2023 года тесно сотрудничают для выявления потенциальных уязвимостей и усиления безопасности. Привлечение сторонней технической экспертизы позволяет «1С-Битрикс» обеспечить высокий уровень защиты данных и повышает устойчивость систем.

В рамках партнерства эксперты PT SWARM Дмитрий Прохоров и Всеволод Дергунов обнаружили пять уязвимостей в системах «1С-Битрикс». Недостатки безопасности уже устранены вендором и затрагивают только тех пользователей, которые не установили обновление.

Эксперты Positive Technologies отмечают, что реализовать данные векторы атак можно только в случае потери учетной записи из-за социальной инженерии либо успешного подбора пароля. Для усиления безопасности Всеволод Дергунов рекомендует строго контролировать учетные данные и усилить политику безопасности — в первую очередь через двухфакторную аутентификацию.

При успешной эксплуатации этих уязвимостей возможно расширение прав для предварительно скомпрометированной учетной записи. Вследствие этого могли произойти инциденты, связанные с несанкционированным доступом к пользовательским данным, включая информацию из системы «Битрикс» и взаимодействующих с ней приложений. Среди других возможных последствий — дальнейшее распространение атаки на внутренние ресурсы компании.

Закрытые уязвимости могли бы привести к удаленному исполнению произвольного кода (Remote Code Execution, RCE), но только в случае несанкционированного доступа в систему. Выявленные Дмитрием Прохоровым недостатки (BDU:2025-08663 и BDU:2025-08662 с одинаковой оценкой 7,1 балла по шкале CVSS 4.0) затронули версию 25.100.300 и были связаны с неправильным управлением привилегиями (Improper Privilege Management) и выходом за пределы назначенного каталога¹ (Path Traversal).

Пользователям необходимо обновить компоненты в составе «1С-Битрикс: Управления сайтом» и «Битрикс24» — модуль main до версии 25.100.400, а модуль fileman до версии 24.500.100 или выше.

Всеволод Дергунов нашел недостатки безопасности в модуле iblock, предназначенном для работы с информационными блоками. С их помощью можно публиковать на сайтах каталоги товаров, новостные блоки и справочники. Для этого компонента разработчик опубликовал общую исправленную версию 24.300.100.

BDU:2025-08664 и BDU:2025-08665, набравшие по 6,9 балла по шкале CVSS 4.0, представляют собой уязвимости типа Relative Path Traversal, то есть позволяют атакующим манипулировать путями к файлам и папкам, находящимся за пределами разрешенных каталогов. Другой обнаруженный дефект (BDU:2025-08666, 8,9 балла по шкале CVSS 4.0) относится к классу PHP Local File Inclusion. Это значит, что приложение исполняет произвольные скрипты, путь к которым указывает сам пользователь.

Выявленные недостатки могли быть задействованы только злоумышленником, имеющим авторизованный доступ к системе с правами на управление информационными блоками в «1С-Битрикс».

В рамках стандартных операций настройки инфоблоков существовала возможность указать некорректные пути к файлам, что теоретически позволяло получить доступ к данным конфигурации «1С-Битрикс» и других систем, установленных на сервере. Однако для реализации такой атаки злоумышленнику потребовались бы не только действительные учетные данные, но и достаточные привилегии в системе.

Продвинутые продукты классов NTA или NDR, например PT Network Attack Discovery, детектируют возможные попытки использования указанных уязвимостей, а продукты класса NGFW, такие как PT NGFW, еще и блокируют их. Обнаружить недостатки безопасности в инфраструктуре помогают также системы класса vulnerability management, например MaxPatrol VM. Для предотвращения атак, эксплуатирующих не только обнаруженные уязвимости, но и другие недостатки безопасности веб-приложений, эффективны решения класса web application firewall, например PT Application Firewall. Для раннего обнаружения недочетов в коде необходимо проверять его при помощи статических и динамических анализаторов, таких как PT Application Inspector и PT BlackBox.