Каждый шестой сайт в опасности. Критическая уязвимость в 1С-Битрикс, найденная ещё в 2023 году, до сих пор не устранена на 150 тысячах ресурсов
NewsMaker«СайберОК» предупреждает: уязвимость BDU-2023-05857 может быть использована для исполнения кода.
В России продолжают попадаться инстансы с уязвимыми версиями модуля в составе 1C-Bitrix, несмотря на то что проблема была обнаружена ещё в 2023 году. Тогда в компоненте landing зафиксировали критическую ошибку типа race condition (CWE-362) под номером BDU-2023-05857, что может позволить исполнение произвольных команд с правами процесса веб-сервера или выше, вплоть до операций на уровне ОС.
По данным экспертов «СайберОК», уязвимыми остаются версии модуля до 23.850.0 включительно. Ошибка связана с некорректной обработкой параллельных запросов к общим ресурсам. В некоторых сценариях эксплуатация возможна без учётных данных, а в других требует авторизации; при этом участия конечного пользователя не требуется.
Во время повторного анализа специалисты компании выявили особенности модуля landing: даже после его отключения или удаления на сервере могут сохраняться остаточные файлы. Из-за этого статические сканеры безопасности нередко выдают ложные срабатывания — наличие таких файлов не всегда означает, что модуль активен или подвержен уязвимости.
Наиболее часто эти артефакты встречаются в следующих путях:
Для точной верификации эксперты не полагаются на отдельные артефакты, а используют серию безопасных поведенческих тестов. Такой подход помогает минимизировать риск нарушения работы продакшн-сред и сократить количество ложных тревог.
В ходе анализа инфраструктуры Рунета специалисты оценили, что порядка миллиона активных сайтов используют 1C-Bitrix, и примерно 150 тысяч из них демонстрируют признаки подверженности уязвимости BDU-2023-05857 — то есть потенциально под угрозой находится каждый шестой сайт.
Публичной реализации эксплойта (PoC) на момент публикации нет; при этом не исключается наличие закрытых рабочих примеров, используемых в исследовательских целях.
Рекомендации остаются прежними: обновить модуль до версии 23.850.0 или выше. Если обновление невозможно, стоит временно отключить модуль landing, ограничить доступ к административным маршрутам и закрыть эндпоинты
В России продолжают попадаться инстансы с уязвимыми версиями модуля в составе 1C-Bitrix, несмотря на то что проблема была обнаружена ещё в 2023 году. Тогда в компоненте landing зафиксировали критическую ошибку типа race condition (CWE-362) под номером BDU-2023-05857, что может позволить исполнение произвольных команд с правами процесса веб-сервера или выше, вплоть до операций на уровне ОС.
По данным экспертов «СайберОК», уязвимыми остаются версии модуля до 23.850.0 включительно. Ошибка связана с некорректной обработкой параллельных запросов к общим ресурсам. В некоторых сценариях эксплуатация возможна без учётных данных, а в других требует авторизации; при этом участия конечного пользователя не требуется.
Во время повторного анализа специалисты компании выявили особенности модуля landing: даже после его отключения или удаления на сервере могут сохраняться остаточные файлы. Из-за этого статические сканеры безопасности нередко выдают ложные срабатывания — наличие таких файлов не всегда означает, что модуль активен или подвержен уязвимости.
Наиболее часто эти артефакты встречаются в следующих путях:
-
/bitrix/components/bitrix/landing.site_edit/templates/.default/landing-forms.js -
/components/bitrix/landing.site_edit/templates/.default/landing-forms.js -
/bx/components/bitrix/landing.site_edit/templates/.default/landing-forms.js
/bitrix/tools/landing/ajax.php и характерные запросы к нему. Для точной верификации эксперты не полагаются на отдельные артефакты, а используют серию безопасных поведенческих тестов. Такой подход помогает минимизировать риск нарушения работы продакшн-сред и сократить количество ложных тревог.
В ходе анализа инфраструктуры Рунета специалисты оценили, что порядка миллиона активных сайтов используют 1C-Bitrix, и примерно 150 тысяч из них демонстрируют признаки подверженности уязвимости BDU-2023-05857 — то есть потенциально под угрозой находится каждый шестой сайт.
Публичной реализации эксплойта (PoC) на момент публикации нет; при этом не исключается наличие закрытых рабочих примеров, используемых в исследовательских целях.
Рекомендации остаются прежними: обновить модуль до версии 23.850.0 или выше. Если обновление невозможно, стоит временно отключить модуль landing, ограничить доступ к административным маршрутам и закрыть эндпоинты
/bitrix/admin/* от внешних сетей. Также рекомендуется проверить логи на наличие параллельных запросов и неожиданных вызовов команд ОС.