Лента новостей

Россия

570
5

Украинские хакеры угрожают десяткам тысяч российских сайтов

ИБ-специалист Кузьмин сообщил об уязвимости в «1С-Битрикс», которая позволяет хакерам красть сайты.
ForPost - Новости : Украинские хакеры угрожают десяткам тысяч российских сайтов

Десяткам тысяч российских сайтов угрожает уязвимость, которая позволяет хакерам нарушить работу веб-ресурсов или вовсе «украсть» их у владельцев. Об этом «Газете.Ru» рассказали в ИБ-компании Innostage. Проблема кроется в программе «1С-Битрикс», которую администраторы сайтов используют для публикации и редактирования контента. Таким образом в день конституции Украины были взломаны страницы нескольких вузов, региональных СМИ и даже Росреестра. В «1С-Битрикс» заявили, что устранили уязвимость в обновлении, однако множество сайтов все еще остаются в опасности.

День Х

В День конституции Украины, 28 июня, на главных страницах целого ряда российских сайтов в результате деятельности киберпреступников появились антивоенные призывы и поздравления с праздником.

В частности, пострадали страницы региональных информационных ресурсов «ТВ-Миг» и «Томикс», сайты Ярославской областной Думы, Совета при президенте РФ по развитию гражданского общества и правам человека (СПЧ), а также Росреестра.

В компании Innostage заявили, что под удар попали и несколько сайтов российских вузов. Руководитель центра предотвращения киберугроз CyberART группы компаний Innostage Антон Кузьмин в разговоре с «Газетой.Ru» отметил, что во всех случаях дефейса (вид атак, при котором меняется содержимое главной страницы; то, с чем столкнулись перечисленные выше ресурсы — прим. ред.) пострадали сайты на базе системы управления контентом «1С-Битрикс».

Система управления контентом – это ПО, которое используется администраторами сайтов для публикации и редактирования контента. Таким контентом могут быть новости и статьи, если речь идет о СМИ, или фотографии и описание товаров в случае с интернет-магазинами. Системы управления контентом часто называют «админками».

По словам Кузьмина, злоумышленники использовали уязвимость в модуле «1С-Битрикс» под названием «vote». «Vote» – это часть системы управления контентом, которая используется для создания и публикации на сайтах опросов.

«Через этот модуль злоумышленник может выполнить произвольный код в системе посредством отправки специально сформированных сетевых запросов. Если проводить понятную аналогию, в руках хакеров «швейцарский нож» с целым набором инструментов для того, чтобы разными способами навредить владельцам сайтов», – сказал он.

Кузьмин также отметил, что дефейс – это одно из самых безобидных последствий, которое угрожает владельцам уязвимых сайтов. По словам эксперта, используя ошибку, хакеры могут сделать с атакованным сайтом практически все что угодно.

«Например, поменять пароли администраторов, из-за чего легитимные владельцы веб-ресурса, скорее всего, потеряют над ним контроль», – заявил он.

Главный специалист департамента аудита ИБ компании T.Hunter Владимир Макаров уточнил, что помимо всего вышеперечисленного злоумышленники могут полностью вывести из строя сайт или оставить на сервере бэкдоры (возможность несанкционированного удаленного доступа — прим. ред.) для использования в любое время.

В пресс-службе компании «Битрикс24», которая поддерживает продукт «1С-Битрикс», подтвердили наличие проблемы и сообщили, что к ним с 28 июня поступили жалобы от 16 клиентов. Вместе с тем в компании отметили, что обновление, закрывающее обсуждаемую уязвимость, появилось за несколько месяцев до начала атак.

«Мы внимательно следим и реагируем на любые внештатные ситуации. Модуль «vote» был своевременно обновлен еще в марте 2022 года. А пользователи были проинформированы о выходе обновления и важности оперативной установки этих файлов», – сообщили в компании.

Рано радоваться

Хотя разработчики давно выпустили решение для устранения уязвимости, по словам Кузьмина, под угрозой до сих пор остаются десятки тысяч российских сайтов.

«Уязвимость закрыта разработчиками, но это не означает, что сайты на «1С-Битрикс» защищены. Сама компания отмечает, что регулярные обновления системы безопасности устанавливает только каждый десятый пользователь системы. Шумиха вокруг взлома, возможно, подтолкнула часть беспечных пользователей установить обновления, но, скорей всего, уязвимость все еще содержат десятки тысяч сайтов. Для них проблема точно не решена», – сказал он.

В компании «Битрикс24» также добавили, что

если владелец сайта на базе «1С-Битрикс» решил установить обновление после новостей об атаках и при этом хакеры уже взломали его сайт, обновление не лишит злоумышленников возможности влиять на работу ресурса.

Это подтверждает и то, что на форуме техподдержки «1С-Битрикс» встречаются посты людей, которые продолжают сталкиваться с атаками хакеров, несмотря на установку обновления, а также отключение и блокировку уязвимого модуля «vote».

«Проблемы могут быть связаны с наличием вредоносного кода, который попал на сайт еще до установки клиентом обновлений» – сказали в пресс-службе «Битрикс24».

По словам Владимира Макарова из T.Hunter, зараженных сайтов может быть очень много, поскольку злоумышленники, эксплуатирующие ошибку, используют автоматизированное средство по поиску и инфицированию уязвимых сайтов в рунете.

«Автоматизированный краулер (программа, сканирующая сайты — прим. ред.) по очереди перебирает ресурсы в зоне .ru и при обнаружении сайта на «1С Битрикс» пробует проэксплуатировать уязвимость. Если ей это удается, то она загружает на сайт скрипт, который меняет пароли у всех пользователей и «кладет» сайт или делает дефейс в назначенную дату», – сказал эксперт.

Выход есть

Тем не менее решение проблемы есть даже для владельцев тех сайтов, которые опоздали с обновлением. Таким клиентам в «Битрикс24» рекомендуют восстановить сайт из резервной копии, сделанной до заражения сайта, и только после этого установить мартовское обновление, которое закроет доступ к сайту для хакеров.

«Стоит также убедиться, что [в резервной копии] отсутствуют закладки и случайные файлы», – отметили в пресс-службе «Битрикс24».

В свою очередь технический директор одного из крупнейших российских СМИ Алексей Карпов предупредил, что такая операция имеет свою цену.

«Если в результате деятельности злоумышленников была повреждена база данных сайта, то, вероятнее всего, владелец потеряет контент, который был опубликован после создания резервной копии еще нетронутого хакерами ресурса, – сказал он.

Вместе с тем он отметил, что, судя по жалобам людей, столкнувшихся с атаками, хакеры часто портят и базы данных, то есть многим жертвам придется расстаться с частью контента, что особенно чувствительно для интернет-изданий.

Исследователь уязвимостей в Kaspersky ICS CERT Владимир Дащенко рекомендовал при подозрении на компрометацию сайта по возможности провести расследование инцидента и понять, как произошло проникновение в инфраструктуру и насколько глубоко злоумышленники смогли закрепиться.

Источник: газета.ру

Поделитесь этой новостью с друзьями:

Обсуждение (5)

Аватар пользователя Serggio
постов:
17890
Serggio (Севастополь)
- 02/07/2022 в 19:50

А должно быть наоборот.

Аватар пользователя against everibody
постов:
2022
against everibody (Назарет)
- 02/07/2022 в 20:02

Хохляцкие хакеры уже достали.Звонят по телефонам,размещенным на Авито,и пытаются,скажу что очень профессионально,развести на деньги при помощи карты.......НО.Есть несколько способов,проверил-работают.Например,невзначай в разговоре спросить про время....тут они и влипают,по привычке называют свое.А разница в час.+еще есть способы,но не буду рассказывать.Долго и дорого.

Аватар пользователя Андрей Мирный
постов:
110
Андрей Мирный (Севастополь)
- 02/07/2022 в 20:09

Ну да, чем же ещё заниматься, если не сайты взламывать. Кроме этого умеют ещё по мирняку стрелять и всё.

Аватар пользователя sergey-ka
постов:
2783
sergey-ka (Севастополь-Воронеж)
- 03/07/2022 в 8:05

Выставить штраф разработчику приложения, чтобы раз и навсегда исключить желание делать недокументированные возможности.

Аватар пользователя Мишка Квакин
постов:
569
Мишка Квакин (У моря)
- 03/07/2022 в 11:20

to against everibody:  Нету в Украине разницы по времени....

Если Вы еще не зарегистрированы, пройдите мгновенную регистрацию

Регистрируясь на сайте, Вы автоматически принимаете
соглашение пользователя и соглашаетесь с правилами сайта

Главное за день

В Крыму оценили риски для полуострова из-за обстрелов Запорожской АЭС

Вода и роза ветров делают регион зоной возможного радиационного загрязнения.
18:23
316
1

Как в Севастополе надо реставрировать исторические здания на примере склепа семьи Кист

На наших исторических объектах занимаются не реставрацией, а евроремонтом.
12:05
1591
5

Обстановка в Крыму из-за диверсии под Джанкоем: что известно на данный момент

В «КЖД» рассказали, когда и откуда будут отправляться поезда из региона.
18:15
8486
19

ТОП 5