Заражения веб-сайтов под управлением Bitrix

vulnerability vulnerability
Опубликовано

НКЦКИ получены сведения о происходящем в настоящее время массовом заражении веб-сайтов под управлением Bitrix, реализуемом посредством эксплуатации критической уязвимости в CMS Bitrix (CVE-2022-27228).

Эксплуатация уязвимости позволяет удаленному злоумышленнику записать произвольные файлы в систему посредством отправки специально сформированных сетевых пакетов.

Данная уязвимость присутствует в модуле «vote» CMS Bitrix до версии 22.0.400.

На текущий момент выявлено два вектора использования злоумышленником зараженных веб-сайтов:

  1. 1. После эксплуатации уязвимости злоумышленник загружает на веб-сайт модифицированный файл (/bitrix/modules/main/include/prolog.php), в который добавляется строка (https://techmestore[.]pw/jquery-ui.js.), вызывающая сторонний JS-скрипт.
    Скрипт jquery-ui.js проверяет, что переход пользователя на зараженный сайт осуществлен из поисковой системы и впервые за день. Если условия совпадают — открывается URL-адрес otrasoper[.]ga/help/?23211651614614, который осуществляет перенаправление пользователей из российского сегмента сети Интернет на фишинговые сайты различных маркетплейсов.
  2. При посещении пользователем зараженного веб-сайта под управлением CMS Bitrix в кэш браузера пользователя внедряется JS-скрипт, который загружается из различных директорий веб-сайта к примеру:
    • bitrix/js/main/core/core.js?1656612291497726
    • bitrix/js/main/core/core.js?1656598434497824
    • bitrix/templates/cm_main/js/jquery-1.10.2.min.js

Данные действия позволяют злоумышленнику перенаправить пользователя на сторонние вредоносные ресурсы.

Злоумышленник может использовать векторы заражения как по отдельности, так и оба сразу.

Рекомендации

Проверить веб-сайт на наличие вредоносного JS-кода.

Проверить наличие фактов нелегитимной модификации файлов, посредством команды, которая осуществляет поиск и сортирует измененные и новые файлы за последние 30 дней, кроме последнего дня:

find /home/<Путь к директории Bitrix>/public_html -type f -mtime -30 ! -mtime -1 -printf '%TY-%Tm-%Td %TT %p\n' | sort -r

Indicators of Compromise

Domains

  • techmestore.pw
  • unasinob.cf

URLs

  • otrasoper.ga/help/?23211651614614

SHA256

  • d74272539fc1c34fa5db80a168269d319d8c541bb36cbf0e99233cbe7ab9474d
  • da9c874d43fc94af70bc9895b8154a11aab1118a4b5aefde4c6cee59f617707e
  • 0ba081f546084bd5097aa8a73c75931d5aa1fc4d6e846e53c21f98e6a1509988

Похожие записи:

  1. Уязвимость в программном обеспечении VipNet Client
  2. Рассылка ВПО от имени НКЦКИ
Bitrix CERT-RU CVE-2022-27228
Добавить комментарий