Jet | Александр В. Леонов

Прочитал про уязвимость Remote Code Execution - Bitrix (CVE-2022-29268) и инцидент с дефейсом Jet CSIRT.

🔻 Уязвимость 2022 года. На NVD она в статусе "Rejected", хотя эксплуатабельность её подтверждена. 🤷‍♂️ В чём суть. CMS Bitrix можно развернуть из вендорского образа "1C-Битрикс: Виртуальная машина". После включения виртуалки нужно без аутентификации зайти на вебинтерфейс и провести настройку. На определённом шаге есть опция "Загрузка резервной копии". Вместо резервной копии туда можно подсунуть веб-шелл, который успешно установится. 🫠

🔻 И какой риск? Не будут же интерфейс первоначальной настройки в Интернет выставлять? 🤔 А вот выставляют, ищется гуглдорком. 😏

🔻 Так произошло и в кейсе с дефейсом сайта Jet CSIRT. В ноябре 2023 интерфейс настройки был выставлен в Интернет на 3 дня. Злоумышленники его нашли и залили шелл. 🤷‍♂️

Jet-ы пишут, что Bitrix-ы такое поведение настройщика уязвимостью не считают. Так что рекомендация одна: не выставлять его в Интернет. 😅🤡

Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.

Александр В. Леонов

Управление Уязвимостями и прочее

Архив метки: Jet

Прочитал про уязвимость Remote Code Execution - Bitrix (CVE-2022-29268) и инцидент с дефейсом Jet CSIRT