Главная страница » vulnerability
0
3 года
vulnerability

Заражения веб-сайтов под управлением Bitrix

vulnerability

НКЦКИ получены сведения о происходящем в настоящее время массовом заражении веб-сайтов под управлением Bitrix, реализуемом посредством эксплуатации критической уязвимости в CMS Bitrix (CVE-2022-27228).

Эксплуатация уязвимости позволяет удаленному злоумышленнику записать произвольные файлы в систему посредством отправки специально сформированных сетевых пакетов.

Данная уязвимость присутствует в модуле «vote» CMS Bitrix до версии 22.0.400.

На текущий момент выявлено два вектора использования злоумышленником зараженных веб-сайтов:

  1. 1. После эксплуатации уязвимости злоумышленник загружает на веб-сайт модифицированный файл (/bitrix/modules/main/include/prolog.php), в который добавляется строка (https://techmestore[.]pw/jquery-ui.js.), вызывающая сторонний JS-скрипт.
    Скрипт jquery-ui.js проверяет, что переход пользователя на зараженный сайт осуществлен из поисковой системы и впервые за день. Если условия совпадают — открывается URL-адрес otrasoper[.]ga/help/?23211651614614, который осуществляет перенаправление пользователей из российского сегмента сети Интернет на фишинговые сайты различных маркетплейсов.
  2. При посещении пользователем зараженного веб-сайта под управлением CMS Bitrix в кэш браузера пользователя внедряется JS-скрипт, который загружается из различных директорий веб-сайта к примеру:
    • bitrix/js/main/core/core.js?1656612291497726
    • bitrix/js/main/core/core.js?1656598434497824
    • bitrix/templates/cm_main/js/jquery-1.10.2.min.js

Данные действия позволяют злоумышленнику перенаправить пользователя на сторонние вредоносные ресурсы.

Злоумышленник может использовать векторы заражения как по отдельности, так и оба сразу.

Рекомендации

Проверить веб-сайт на наличие вредоносного JS-кода.

Проверить наличие фактов нелегитимной модификации файлов, посредством команды, которая осуществляет поиск и сортирует измененные и новые файлы за последние 30 дней, кроме последнего дня:

Indicators of Compromise

Domains

  • techmestore.pw
  • unasinob.cf

URLs

  • otrasoper.ga/help/?23211651614614

SHA256

  • d74272539fc1c34fa5db80a168269d319d8c541bb36cbf0e99233cbe7ab9474d
  • da9c874d43fc94af70bc9895b8154a11aab1118a4b5aefde4c6cee59f617707e
  • 0ba081f546084bd5097aa8a73c75931d5aa1fc4d6e846e53c21f98e6a1509988
Комментарии: 0
Похожие записи
0
20 дней
Security

Рекомендации по минимизации возможных угроз безопасности информации при работе с подрядчиками

security
Наиболее болезненной для российских организаций в 2024 году оказалась техника первоначальной компрометации систем в виде атак через доверенные внешние каналы взаимодействия.
0
8 месяцев
Security

Об угрозе безопасности информации при использовании браузера "Спутник"

security
Баузер «Спутник», разработанный компанией ООО «Спутниклаб», получил массовое применение в государственных организациях и органах государственной власти за счет поддержки отечественных SSL-сертификатов