26.05.2023 была проведен массовый дефейс веб-серверов национального сегмента РФ сети интернет. В качестве цели атаки выступала CMS Bitrix. В ходе расследования было установлено, что массовые взломы были проведены загодя, в начиная с 2022 года через известные уязвимости, включая CVE-2022-27228.
Злоумышленником был установлен бэкдор, позволяющий создавать произвольные файлы и вызывать команды ОС. 26 мая в районе 14:00 бэкдору была дана команда на замену главной страницы сайта. Техническое описание атаки было опубликовано на форуме разработчиков.
Зачастую взломанные сайты восстанавливаются из резервной копии, но это не решает проблему, поскольку восстанавливается и бэкдор, что дает возможность злоумышленнику повторить атаку. Кроме того, если уязвимость не была устранена, злоумышленники могут снова взломать сервер и установить модификацию бэкдора, что наблюдается в настоящий момент.
Целью атакующих являются:
- Все не обновлённые версии «1С-Битрикс: Управление сайтом» (Bitrix Site Manager). Следует обратить внимание, что после окончания срока действия лицензии, обновление ПО не выполняется.
- Обновленные версии «1С-Битрикс: Управление сайтом» с незакрытыми уязвимостями.
- Обновленные версии «1С-Битрикс: Управление сайтом» с установленным бэкдором.
Используемые уязвимости
Arbitrary Object Instantiation в модуле «Опросы, голосования»/«Vote»
Модуль «Опросы, голосования» («Vote») позволяет проводить опросы и голосования, которые помогают узнать мнение пользователей сайта. Эксплуатация уязвимости позволяет удаленному злоумышленнику записать произвольные файлы в систему посредством отправки специально сформированных сетевых пакетов. Данная уязвимость присутствует в модуле «vote» CMS «1С-Битрикс: Управление сайтом» до версии 22.0.400 всех редакций, кроме «Старт».
Arbitrary File Write в модуле «Визуальный редактор»
В основную кодовую базу «1С-Битрикс: Управление сайтом» входит служебный модуль «fileman», реализующий возможность визуального HTML-редактора. В составе этого модуля присутствует уязвимый скрипт «html_editor_action.php». Эксплуатация уязвимости этого файла аналогично CVE-2022-27228 позволяет неавторизованному Злоумышленнику удаленно выполнить произвольный код на целевой системе.
Описание действий постэксплуатации
Основные действия после эксплуатации:
- заменяется index.php в корневой директории WEB-приложения;
- встраивание вредоносного кода в PHP-скрипты модулей;
- удаляется файл /bitrix/.settings.php;
- создаются скрипты Агентов с вредоносным кодом или модифицируются существующие скрипты;
- удаляются данные из таблиц базы данных b_iblock, b_iblock_element, b_iblock_element_property;
- создание файлов .htaccess во всех каталогах WEB-приложения;
- создание PHP-скриптов в директории /bitrix/admin/ с произвольными именами файлов.
Описание реагирования на успешную атаку
Идентификация:
- Проверка средствами «1С-Битрикс: Поиск троянов»
- Проверка по журналам доступа к WEB-серверу
- Проверить наличие нетипичных файлов
- Поиск модифицированных файлов
- Поиск закрепления доступа
В случае, если нет возможности обновить CMS до актуальной версии можно заблокировать POST-запросы к уязвимым файлам:
- /bitrix/tools/upload.php
- /bitrix/tools/mail_entry.php
- /bitrix/modules/main/include/virtual_file_system.php
- /bitrix/components/bitrix/sender.mail.editor/ajax.php
- /bitrix/tools/vote/uf.php
- /bitrix/tools/html_editor_action.php
- /bitrix/admin/site_checker.php
Очистка зараженного узла и восстановление приложение
- Остановить службу WEB-сервера.
- Проверить наличие иного работающего в памяти процесса, исполняющего PHP и остановить этот процесс.
- Очистить cache WEB-приложения.
- Удалить выявленные ранее сторонние вредоносные файлы.
- Проверить резервную копию сайта. В случае обнаружения вредоносных объектов, удалить вредоносные объекты или имплементации вредоносного кода. Дополнительно рекомендуется использовать механизм контроля целостности файлов
- Восстановить сайт из резервной копии.
- Проверить работоспособность всех разделов сайта.
- Обновить «1С-Битрикс: Управление сайтом» и PHP до актуальных версий.
Рекомендации по защите WEB-приложения
- Перевести сайт на актуальную версию PHP 8.
- Обновлять «1С-Битрикс: Управление сайтом» до актуальных версий.
- Установить, включить и настроить согласно рекомендациям модули:
- «Проактивный фильтр (Web Application Firewall)»
- «Контроль активности»
- Выполнить проверку WEB-приложения средствами «Сканер безопасности»
- Закрыть доступ к файлам на уровне сервера (например, в .htaccess):
- /bitrix/tools/upload.php
- /bitrix/tools/mail_entry.php
- /bitrix/modules/main/include/virtual_file_system.php
- /bitrix/components/bitrix/sender.mail.editor/ajax.php
- /bitrix/tools/vote/uf.php
- /bitrix/tools/html_editor_action.php
- Проверить и включить логирование событий доступа к WEB-приложению (все типы access) и ошибок (error).
Восстановление работоспособности в случае блокировки
В некоторых случаях сайт может быть заблокирован НКЦКИ по причине его взлома с последующим размещением противоправного контента и использованием злоумышленниками для проведения компьютерных атак на критическую информационную инфраструктуру Российской Федерации в соответствии со статьей 5 Федерального закона № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», пунктом 5.1 Приказа ФСБ России от 24.07.2018 г. № 366 и пунктом 9 Правил централизованного управления сетью связи общего пользования, утвержденных постановлением Правительства Российской Федерации от 12 февраля 2020 года № 127.
Блокировка применяется до момента фиксации НКЦКИ факта удаления противоправного контента. В таком случае, после устранения дефейса, бэкдора и уязвимостей свяжитесь с командой Национального координационного центра по компьютерным инцидентам.
С более подбробной информацией можно ознакомиться в документации www.cyberok.ru