Недавно появились сообщения о массовых взломах сайтов на платформе Bitrix, связанных с уязвимостями в модулях от eSolutions и «Маяк». Аналитики RED Security SOC также зафиксировали подобные атаки и подробно разобрали их механизм. В ходе мониторинга была обнаружена подозрительная активность: веб-сервер выполнял закодированные команды операционной системы, что является явным признаком компрометации.
Описание
Злоумышленники использовали веб-шелл, загруженный через уязвимость в модуле kda.exportexcel. Этот шелл позволял выполнять произвольный PHP-код и загружать файлы на сервер. Интересно, что доступ к админке Bitrix был открыт для всех, хотя стандартная защита предполагала авторизацию. Однако из-за ошибки в коде модуля атакующие смогли обойти эту проверку.
Анализ логов показал, что злоумышленники предпринимали попытки взлома в течение восьми дней, прежде чем добились успеха. Большинство запросов блокировалось WAF, но в итоге атакующие нашли способ обойти защиту. После успешной эксплуатации уязвимости они загрузили веб-шелл, который использовали для дальнейших действий.
Эксперты RED Security SOC подчеркивают, что подобные инциденты можно предотвратить, своевременно обновляя CMS и сторонние модули, а также ограничивая доступ к административным разделам. Кроме того, важно регулярно анализировать логи и мониторить активность на серверах, чтобы выявлять попытки атак на ранних этапах.
Уязвимость в модуле kda.exportexcel уже известна разработчикам, и для нее выпущен патч. Однако многие компании до сих пор не установили обновления, что делает их легкой мишенью для злоумышленников. Специалисты рекомендуют проверить все установленные модули Bitrix и применить последние исправления, чтобы избежать компрометации.
Индикаторы компрометации
IPv4
- 146.19.128.13
- 158.101.142.183
- 193.37.71.16
- 45.134.12.116
- 45.142.122.113
- 77.221.151.44
- 77.239.124.203
- 83.147.255.11
- 89.169.15.118
