Jet | Александр В. Леонов

Прочитал про уязвимость Remote Code Execution - Bitrix (CVE-2022-29268) и инцидент с дефейсом Jet CSIRT.

Уязвимость 2022 года. На NVD она в статусе "Rejected", хотя эксплуатабельность её подтверждена. В чём суть. CMS Bitrix можно развернуть из вендорского образа "1C-Битрикс: Виртуальная машина". После включения виртуалки нужно без аутентификации зайти на вебинтерфейс и провести настройку. На определённом шаге есть опция "Загрузка резервной копии". Вместо резервной копии туда можно подсунуть веб-шелл, который успешно установится.

И какой риск? Не будут же интерфейс первоначальной настройки в Интернет выставлять? А вот выставляют, ищется гуглдорком.

Так произошло и в кейсе с дефейсом сайта Jet CSIRT. В ноябре 2023 интерфейс настройки был выставлен в Интернет на 3 дня. Злоумышленники его нашли и залили шелл.

Jet-ы пишут, что Bitrix-ы такое поведение настройщика уязвимостью не считают. Так что рекомендация одна: не выставлять его в Интернет.

Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.

Александр В. Леонов

Управление Уязвимостями и прочее

Архив метки: Jet

Прочитал про уязвимость Remote Code Execution - Bitrix (CVE-2022-29268) и инцидент с дефейсом Jet CSIRT