Центр кибербезопасности хостинг-провайдера hoster.by объявил об обнаружении цепочки взломов сайтов, преимущественно интернет-магазинов. Проблемное ПО было установлено на сайты десятков клиентов.
Сообщается, что проблема касается всех, кто использует продукты «Аспро» (до версии Аспро: Next 1.9.9) для веб-ресурсов на основе системы 1С-Битрикс.
Владельцы атакованных ресурсов были оперативно уведомлены, а уязвимость закрыта. Специалисты центра кибербезопасности разработали инструкцию для владельцев сайтов на CMS 1С-Битрикс. С ее помощью можно можете проверить свой сайт и закрыть уязвимость.
Взломы и попытки получения доступов к ресурсам фиксировались с конца августа 2024 года. Чаще всего использовался IPv4-адрес 185.125.219.93. Точкой входа были уязвимые скрипты reload_basket_fly.php, show_basket_fly.php, show_basket_popup.php. Файлы находятся в директории /ajax/ в корне сайта, например /var/www/www-root/data/www/test.by/ajax/.
После проведения реверс-инжиниринга и детального изучения исполняемых файлов стало понятно, что злоумышленники через эту уязвимость загружали веб-шеллы, которые в свою очередь подгружали майнер.
Как обнаружить уязвимость
Проблема касается исключительно пользователей продуктов «Аспро» до версии Аспро: Next 1.9.9, а не всех сайтов на 1С-Битрикс. Атаки происходят через уязвимые скрипты reload_basket_fly.php, show_basket_fly.php, show_basket_popup.php. Обнаружить их можно в директории пользователя bitrix ~/ajax/). Они плохо проверяют пользовательский ввод и имеют ряд других слабых мест. Из-за этого становится возможным удаленное выполнение команд на вашем ресурсе.
«Мы не нашли следов каких-либо деструктивных действий по отношению к чувствительной информации клиентов. Поэтому полагаем, что в инцидентах целью злоумышленников был заработок через майнинг криптовалюты, — прокомментировал руководитель центра кибербезопасности hoster.by Антон Тростянко. — Но не исключено, что это было только началом, и отсутствие быстрой реакции со стороны центра кибербезопасности могло бы привести к утечкам конфиденциальной информации или персональных данных».
Как решить проблему, если вы нашли указанную уязвимость
Если вы обнаружили проблемные скрипты на своем ресурсе, необходимо:
1. Остановить все вредоносные процессы.
2. Сменить пароли всех используемых учетных записей 1C-Битрикс.
3. Обновить CMS и все ее модули до последних версий.
4. Если вы не можете быстро обновить ПО, внесите дополнения в скрипты reload_basket_fly.php, show_basket_fly.php, show_basket_popup.php. А именно — замените на $arParams = json_decode($_REQUEST["PARAMS"]). Этого дополнения достаточно, чтобы злоумышленник не взломал сайт, пока вы обновляете все модули, но недостаточно для корректной работы ресурса.
BelRetail.by – это специализированный интернет-ресурс о розничной торговле и e-commerce в Республике Беларусь: актуальная информация о событиях отрасли, статьи, мнения; каталог ритейлеров, вакансии, профильное обучение, акции и бонусные предложения.
