1. Описание зафиксированной угрозы

[Название угрозы]: критичная уязвимость в «1C-Битрикс»

[Тип угрозы]: уязвимость удаленного исполнения кода (RCE) неаутентифицированным пользователем

[CVE]: в базе NVD CVE-2022-29268 в статусе «отклонена», в прочих базах идентификаторы не присвоены

[CVSS vector]: CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H

[Platform]: 1C

[Product]: 1C-Битрикс: Виртуальная машина (VMBitrix)

[Version]: v.7.5.0, v.7.5.5

[Severity]: 9.5

[Дата обнаружения]: 07/2024

«1C-Битрикс: Виртуальная машина» — виртуальный сервер, сконфигурированный для быстрого исполнения программных продуктов «1С-Битрикс». Уязвимость позволяет внедрить вредоносный PHP-скрипт в корневую директорию веб-сайта через форму «Загрузка резервной копии» на веб-странице первоначальной настройки CMS «1С-Битрикс». Специалисты АО «Инфосистемы Джет» проанализировали описание эксплуатации уязвимости «1С-Битрикс: Виртуальная машина (VMBitrix)» v.7.5.0 (https://github.com/sartlabs/0days/blob/main/Bitrix/Exploit.txt) и успешно воспроизвели эксплуатацию уязвимости для актуальной версии «1С-Битрикс: Виртуальная машина (VMBitrix)» v.7.5.5. Эксплуатация уязвимости возможна только до полного завершения работ по установке и настройке программных продуктов «1С-Битрикс» через ПО «1С-Битрикс: Виртуальная машина». До момента завершения настройки веб-страница «1С-Битрикс: Виртуальная машина», в случае публикации в сети Интернет, легко находится в любом поисковике по запросу «intitle:«Welcome!» intext:«Welcome to Bitrix Virtual Appliance»».

2. Технические детали угрозы

Для воспроизведения эксплуатации уязвимости был подготовлен тестовый стенд с «1С-Битрикс: Виртуальная машина» v7.5.5. Внедрение тестового вредоносного PHP-скрипта (веб-шелл), который позволяет удаленно управлять веб-сервером, осуществлялось через модуль «Загрузка резервной копии».

Порядок действий:

1. На веб-странице первоначальной настройки CMS «1С-Битрикс» необходимо перейти по ссылке «Восстановить копию»:



2. Внедрение тестового вредоносного PHP-скрипта (веб-шелл) через раздел «Загрузка с локального диска» на веб-странице «Загрузка резервной копии». Загрузка была завершена с ошибкой.



3. Проверка успешного внедрения вредоносного PHP-скрипта:


Таким образом, вредоносный PHP-скрипт был успешно внедрен в корневую директорию веб-сайта. Возможность компрометации веб-сайта с использованием описанной уязвимости для актуальной версии «1С-Битрикс: Виртуальная машина» v7.5.5 была подтверждена практически.

3. Рекомендации

1) При развертывании веб-ресурса на базе продуктов «1С-Битрикс» ограничить сетевой доступ к виртуальной машине с «1С-Битрикс: Виртуальная машина (VMBitrix)» из внешних сетей до завершения настроек «1С-Битрикс».

2) При наличии веб-ресурсов на базе продуктов «1С-Битрикс», доступных из сети Интернет, проверить отсутствие в корневой директории веб-ресурсов потенциально вредоносных файлов с расширением .php.