Проверьте свой сайт: SOC hoster.by раскрыл цепочку взломов интернет-магазинов

Центр кибербезопасности hoster.by обнаружил цепочку взломов сайтов,  в основном интернет-магазинов. Уязвимость касается тех, кто использует продукты «Аспро» для веб-ресурсов на основе системы 1С-Битрикс. Проблема актуальна для пользователей, не обновивших софт до версии Аспро: Next 1.9.9. Через уязвимость скриптов на серверы клиентов устанавливался вредоносный софт для скрытого майнинга.

«Своим клиентам мы помогли решить проблему, их ресурсы не пострадали из-за атаки. Но мы выяснили, что уязвимость позволяет не только устанавливать вредоносное ПО, но и получить доступ к данным — вплоть до логина и пароля к панели управления сайтом», — комментирует руководитель центра кибербезопасности hoster.by Антон Тростянко. 

Специалисты по кибербезопасности hoster.by разработали инструкцию, с помощью которой вы или ваш IT-специалист можете проверить свой сайт и закрыть уязвимость самостоятельно. Более подробный технический материал с описанием проблемы можно найти на сайте hoster.by.

Как обнаружить уязвимость

Проблема касается исключительно пользователей продуктов «Аспро» до версии Аспро: Next 1.9.9, а не всех сайтов на 1С-Битрикс. Атаки происходят через уязвимые скрипты reload_basket_fly.php, show_basket_fly.php, show_basket_popup.php. Обнаружить их можно в директории пользователя bitrix ~/ajax/).  Они плохо проверяют пользовательский ввод и имеют ряд других слабых мест. Из-за этого становится возможным удаленное выполнение команд на вашем ресурсе. 

Как решить проблему

Если вы обнаружили проблемные скрипты на своем ресурсе, необходимо:

1. Остановить все вредоносные процессы. 

2. Сменить пароли всех используемых учетных записей 1C-Битрикс.

3.  Обновить CMS и все ее модули до последних версий.

4.  Если вы не можете быстро обновить ПО, внесите дополнения в скрипты reload_basket_fly.php, show_basket_fly.php, show_basket_popup.php. А именно — замените на $arParams = json_decode($_REQUEST["PARAMS"]).  Этого дополнения хватит, чтобы злоумышленник не взломал сай, пока вы обновляете все модули, но недостаточно для корректной работы ресурса.

«Мы не нашли следов каких-либо деструктивных действий по отношению к чувствительной информации клиентов. Поэтому полагаем, что в инцидентах целью злоумышленников был заработок через майнинг криптовалюты, — прокомментировал руководитель центра кибербезопасности hoster.by Антон Тростянко. — Но не исключено, что это было только началом. Если бы центр кибербезопасности не отреагировал быстро, это могло бы привести к утечкам конфиденциальной информации или персональных данных». 

Если у вас не получается самостоятельно решить проблему, пожалуйста, обращайтесь к специалистам.