В декабре прошлого года специалисты по кибербезопасности обнаружили в арсенале хакерской группировки Shedding Zmiy необычную утилиту под названием Install. Этот инструмент, кратко упомянутый в отчете Positive Technologies, был детально проанализирован и оказался предназначен для повышения привилегий в корпоративной инфраструктуре через уязвимость нулевого дня в настройках веб-сервера виртуальной машины для развертывания популярной российской CMS 1С-Bitrix.
Описание
После обнаружения уязвимости разработчики оперативно ее устранили, однако эксплуатация остается возможной на непропатченных версиях решения до 9.0.5. Уязвимость уже внесена в базу данных уязвимостей ФСТЭК под идентификатором BDU:2025-04539.
Утилита Install позволяла злоумышленникам эскалировать привилегии до root благодаря эксплуатации учетной записи bitrix с избыточными правами доступа. Ключевая проблема заключалась в небезопасной конфигурации веб-сервера Apache, где административная учетная запись bitrix могла модифицировать конфигурационные файлы. Это создавало условия для выполнения произвольного кода с повышенными привилегиями. Для успешной атаки требовалось сначала получить несанкционированный удаленный доступ к веб-серверу и разместить вредоносную утилиту Install. Затем злоумышленникам необходимо было активировать внесенные изменения через перезагрузку службы httpd или дождаться ротации логов Apache.
Анализ показал, что аналогичные проблемы существовали и для веб-сервера nginx, а также для службы push-service. Все эти уязвимости являлись следствием нарушения принципа минимальных привилегий - учетной записи bitrix было предоставлено чрезмерно много прав в системе. Утилита Install принимала на вход путь к модулю Apache, проверяла его корректность и создавала вредоносный модуль mod_test.so. Этот модуль генерировал SUID-бинарный файл /usr/local/games/w, упакованный утилитой UPX, который устанавливал root-привилегии через системные вызовы setuid и setgid.
В устаревших версиях виртуальной машины до 9.0.5 существовало две административные учетные записи с доступом по SSH. Учетная запись bitrix занимала второе место в иерархии после root и обладала опасными правами: владение директорией /var/www, возможность редактирования конфигураций httpd и nginx, а также правом изменения файлов службы push-service. Именно эти привилегии позволяли злоумышленникам при компрометации учетной записи bitrix изменять настройки сервисов и в конечном итоге получать права суперпользователя.
В актуальных версиях виртуальной машины 9.0.5 и новее разработчики устранили проблему, убрав доступ учетной записи bitrix к конфигурациям веб-серверов и файлам службы push-service. В версии 9.0.6 домашней директорией bitrix стала /home/bitrix, где размещается веб-контент и директория www. Процессы Apache и Nginx теперь работают от пользователя bitrix, что соответствует принципам безопасной настройки.
Для эффективной защиты эксперты рекомендуют несколько ключевых мер. Прежде всего необходимо своевременно устанавливать обновления программного обеспечения. Это универсальная рекомендация для любого ПО, включая системное окружение решений Bitrix. Дополнительно важно правильно разграничивать права пользователей. В обычной конфигурации Apache используется низко привилегированный пользователь www-data, который владеет директорией /var/www, но не имеет доступа к конфигурации веб-сервера. По аналогии с этим подходом рекомендуется передать директорию www системному пользователю www-data и запускать веб-серверы от его имени.
Технические меры усиления защиты включают использование AppArmor и SELinux для проактивного ограничения возможностей потенциальных атакующих. Этими средствами можно ограничить доступ к определенным каталогам и выполнение отдельных утилит. Для пользователя www-data следует оставить доступы только к тем инструментам, которые необходимы для функционирования веб-серверов. Для выявления аномального поведения рекомендуется настроить мониторинг системных вызовов chmod, fchmod и fchmodat, отслеживая установку SUID-битов исполняемым файлам. Также эффективен мониторинг выполнения системного вызова execve с установленным битом SUID/SGID от пользователей www-data и bitrix.
Важно понимать, что наличие даже одного уязвимого компонента в системном окружении CMS может нивелировать все остальные меры защиты. Поэтому внедрение практик безопасности цепочки поставок и применение специализированных инструментов анализа, таких как Solar appScreener, становятся важными дополнительными шагами в обеспечении устойчивости инфраструктуры. В сочетании с правильной настройкой прав доступа, использованием SELinux/AppArmor и регулярным аудитом это позволяет выстроить действительно надежную модель защиты.
Правило наименьших привилегий остается одним из основополагающих принципов информационной безопасности. Оно предотвращает быстрый захват сервера злоумышленниками и их дальнейшее продвижение по инфраструктуре. Дополнительные технические меры защиты и мониторинг позволяют своевременно обнаруживать манипуляции атакующих и принимать необходимые меры. Это не единственная, но критически важная мера усиления защиты корпоративной инфраструктуры от современных киберугроз.
Индикаторы компрометации
MD5
- 2a30eac6fcf32dbf01de8af4280a7a06
- 54b0634f06142261727aa3f60d87c2bf
- 848faa5839487c4331cb2a1146811f23
SHA1
- 1335bf11489bc6321f384766fc2c00a339431918
- eab236f7f0df822b3df6b3920000992878d1ec63
- f67dbe68fc11139b719fec11784247c5f6e7ea93
SHA256
- 37affeab7fb06a052413e9cc9272ea9cb2fd160fd204b506620d4303b06298c4
- 5e488e5dd25533130ecd4b4e220f9605d31fdb5d4af3293dfe004c38eb9fa0d0
- ee305286f2e3b35b9b596eedfef617a8f02dea04c8d58deaa4f8c1109194ec4e
