• О компании
  • Новости
  • Эксперты Positive Technologies помогли усилить безопасность в системах «1С-Битрикс»
Новости

Эксперты Positive Technologies помогли усилить безопасность в системах «1С-Битрикс»

Эксперты Positive Technologies и «1С-Битрикс» с 2023 года тесно сотрудничают для выявления потенциальных уязвимостей и усиления безопасности. Привлечение сторонней технической экспертизы позволяет «1С-Битрикс» обеспечить высокий уровень защиты данных и повышает устойчивость систем.

В рамках партнерства эксперты PT SWARM Дмитрий Прохоров и Всеволод Дергунов обнаружили пять уязвимостей в системах «1С-Битрикс». Недостатки безопасности уже устранены вендором и затрагивают только тех пользователей, которые не установили обновление.

Эксперты Positive Technologies отмечают, что реализовать данные векторы атак можно только в случае потери учетной записи из-за социальной инженерии либо успешного подбора пароля. Для усиления безопасности Всеволод Дергунов рекомендует строго контролировать учетные данные и усилить политику безопасности — в первую очередь через двухфакторную аутентификацию.

При успешной эксплуатации этих уязвимостей возможно расширение прав для предварительно скомпрометированной учетной записи. Вследствие этого могли произойти инциденты, связанные с несанкционированным доступом к пользовательским данным, включая информацию из системы «Битрикс» и взаимодействующих с ней приложений. Среди других возможных последствий — дальнейшее распространение атаки на внутренние ресурсы компании.
 

Закрытые уязвимости могли бы привести к удаленному исполнению произвольного кода (Remote Code Execution, RCE), но только в случае несанкционированного доступа в систему. Выявленные Дмитрием Прохоровым недостатки (BDU:2025-08663 и BDU:2025-08662 с одинаковой оценкой 7,1 балла по шкале CVSS 4.0) затронули версию 25.100.300 и были связаны с неправильным управлением привилегиями (Improper Privilege Management) и выходом за пределы назначенного каталога1 (Path Traversal).

Пользователям необходимо обновить компоненты в составе «1С-Битрикс: Управления сайтом» и «Битрикс24» — модуль main до версии 25.100.400, а модуль fileman до версии 24.500.100 или выше.

1 Уязвимость, которая позволяет злоумышленнику получить доступ к файлам и каталогам, находящимся за пределами предполагаемого корневого каталога веб-сервера.

«Для эксплуатации уязвимостей было необходимо похитить легитимную учетную запись. Успешно воспользовавшись ошибками небезопасной десериализации2, злоумышленник потенциально мог закрепиться в системе, найти пользовательские данные. Кроме того, он имел бы доступ к сведениям, которые могли расширить вектор нападения внутри периметра, упростив проведение атак на другие корпоративные ресурсы жертвы. Теоретически нарушитель мог читать локальные файлы на сервере, изучать исполняемые файлы и исходный ко...

Дмитрий Прохоров
Дмитрий ПрохоровСпециалист отдела анализа защищенности веб-приложений Positive Technologies

Всеволод Дергунов нашел недостатки безопасности в модуле iblock, предназначенном для работы с информационными блоками. С их помощью можно публиковать на сайтах каталоги товаров, новостные блоки и справочники. Для этого компонента разработчик опубликовал общую исправленную версию 24.300.100.

BDU:2025-08664 и BDU:2025-08665, набравшие по 6,9 балла по шкале CVSS 4.0, представляют собой уязвимости типа Relative Path Traversal, то есть позволяют атакующим манипулировать путями к файлам и папкам, находящимся за пределами разрешенных каталогов. Другой обнаруженный дефект (BDU:2025-08666, 8,9 балла по шкале CVSS 4.0) относится к классу PHP Local File Inclusion. Это значит, что приложение исполняет произвольные скрипты, путь к которым указывает сам пользователь.

Выявленные недостатки могли быть задействованы только злоумышленником, имеющим авторизованный доступ к системе с правами на управление информационными блоками в «1С-Битрикс».

В рамках стандартных операций настройки инфоблоков существовала возможность указать некорректные пути к файлам, что теоретически позволяло получить доступ к данным конфигурации «1С-Битрикс» и других систем, установленных на сервере. Однако для реализации такой атаки злоумышленнику потребовались бы не только действительные учетные данные, но и достаточные привилегии в системе.

2 Ситуация, когда программа десериализует данные из недоверенного источника без достаточной проверки.

«Использовав ошибку BDU:2025-08666, удаленный атакующий мог бы реализовать вектор атаки для получения контроля над серверами через загрузку и исполнение вредоносного кода. Предположительно, дальнейшие действия злоумышленника были бы связаны с попыткой закрепиться во внутренней сети».

Всеволод Дергунов
Всеволод ДергуновCтарший специалист отдела анализа приложений Positive Technologies

Продвинутые продукты классов NTA или NDR, например PT Network Attack Discovery, детектируют возможные попытки использования указанных уязвимостей, а продукты класса NGFW, такие как PT NGFW, еще и блокируют их. Обнаружить недостатки безопасности в инфраструктуре помогают также системы класса vulnerability management, например MaxPatrol VM. Для предотвращения атак, эксплуатирующих не только обнаруженные уязвимости, но и другие недостатки безопасности веб-приложений, эффективны решения класса web application firewall, например PT Application Firewall. Для раннего обнаружения недочетов в коде необходимо проверять его при помощи статических и динамических анализаторов, таких как PT Application Inspector и PT BlackBox.

«Защита данных пользователей "Битрикс" — наш приоритет. В компании реализован и постоянно совершенствуется комплекс организационных и технических мероприятий по обеспечению высокого уровня безопасности сервисов и продуктов "Битрикс". Наличие в наших решениях встроенных защитных механизмов позволяет существенно снижать риски компрометации. В рамках имплементированных процессов разработки безопасного программного обеспечения в "1С-Битрикс" мы активно привлекаем независимую техническую экспертизу. ...

Леонид Плетнев
Леонид ПлетневБизнес-партнер по информационной безопасности «1С-Битрикс»