Массовый взлом сайтов на 1C-Битриксе

30.06.2022

Из обсуждения на официальном форуме 1С-Битрикс известно, что злоумышленникам удалось получить полный доступ к множеству сайтов на базе этой CMS — вплоть до смены всех паролей и удаления данных.

Предполагаем, что для осуществления взлома злоумышленники использовали несколько путей, в том числе:
  • через уязвимость модуля vote (версия ниже 21.0.100). Уязвимость позволяет нарушителям воспользоваться возможностью отправки специально сформированных сетевых пакетов и записывать произвольные файлы в систему;
  • через встроенный редактор html.

Если у вас есть проекты на Битриксе, строго рекомендуется обновить CMS до последней версии. В версии 21.0.1 модуля vote уже исправлены ошибки безопасности. Если у Вас закончился оплаченный период получения обновлений, Вы можете заказать продление лицензии 1С-Битрикс у нас. Также советуем проверить наличие корректных резервных копий сайтов.

Если у вас нет бэкапов, не откладывайте их создание. Дополнительно до выяснения подробностей об уязвимости рекомендуем в файлах /bitrix/tools/vote/uf.php и /bitrix/tools/html_editor_action.php перед require_once вставить следующий код:

if ($_SERVER['REQUEST_METHOD'] === 'POST'){
    header("Status: 404 Not Found");
    die();
}

Альтернативно вы можете удалить модуль vote (Голосования) или переименовать папку vote в /bitrix/modules/. Учитывайте что эти действия полностью исключат возможность использования модуля голосования!