Во вторник, 28 июня, владельцы порталов и сайтов на Битриксе столкнулись с массовым взломом своих проектов. Из обсуждения на официальном форуме Битрикса известно, что злоумышленникам удалось получить полный доступ к множеству сайтов на базе этой CMS — вплоть до смены всех паролей и удаления данных.
Владельцем веб-сайтов необходимо в срочном порядке обновить ПО 1С-Битрикс до актуальной версии с помощью встроенного механизма обновлений SiteUpdate, а также проверить свои сайты на предмет корректной работы, на наличие вирусов и следов взлома, обновить пароли учетных записей с правами администратора.
В целом, я не удивлен этой ситуацией. Но меня крайне забавляет как, зачастую, клиенты сливаются с наших WordPress-ов или самописов, мотивируя это тем, что «БИТРИКС БЕЗОПАСНЕЙ!». Особенно остро эта проблема стоит при общении с гос-заказчиками – у них по умолчанию во всех тендерах заложено 10 страниц, где они требуют разрабатывать сайт (или, упаси господь, информационную систему) на базе 1С-Битрикс (опять же, потому что ЭТА БЕЗАПАСНА).
А ведь текущая уязвимость – далеко не первая:
– Вот вам дефейс Минстроя меньше месяца назад: https://xakep.ru/2022/06/06/minstroy-hack/
– Вот вам массовый взлом сайтов арбитражных судов (которые все как раз работают на 1С-Битрикс) в марте этого года: https://www.securitylab.ru/news/530612.php
– Вот вам массовая уязвимость от 21 года: https://habr.com/ru/post/544572/
Да тут даже далеко ходить не надо – вот мануал на 75 страниц по актуальным уязвимостям 1С-Битрикс: https://github.com/cr1f/writeups/blob/main/attacking_bitrix.pdf
И как же я лолирую со всех этих мамкиных безопасников, когда за 8+ лет работы с WordPress я столкнулся только с одной серьезной уязвимостью: https://www.cvedetails.com/cve/CVE-2020-13126/. И это даже не уязвимость WordPress, а лишь плагина Elementor Pro, который в то время только набирал свою популярность.
