День Х
В День конституции Украины, 28 июня, на главных страницах целого ряда российских сайтов в результате деятельности киберпреступников появились антивоенные призывы и поздравления с праздником.
В частности, пострадали страницы региональных информационных ресурсов «ТВ-Миг» и «Томикс», сайты Ярославской областной Думы, Совета при президенте РФ по развитию гражданского общества и правам человека (СПЧ), а также Росреестра.
В компании Innostage заявили, что под удар попали и несколько сайтов российских вузов. Руководитель центра предотвращения киберугроз CyberART группы компаний Innostage Антон Кузьмин в разговоре с «Газетой.Ru» отметил, что во всех случаях дефейса (вид атак, при котором меняется содержимое главной страницы; то, с чем столкнулись перечисленные выше ресурсы — прим. ред.) пострадали сайты на базе системы управления контентом «1С-Битрикс».
Система управления контентом – это ПО, которое используется администраторами сайтов для публикации и редактирования контента. Таким контентом могут быть новости и статьи, если речь идет о СМИ, или фотографии и описание товаров в случае с интернет-магазинами. Системы управления контентом часто называют «админками».
По словам Кузьмина, злоумышленники использовали уязвимость в модуле «1С-Битрикс» под названием «vote». «Vote» – это часть системы управления контентом, которая используется для создания и публикации на сайтах опросов.
«Через этот модуль злоумышленник может выполнить произвольный код в системе посредством отправки специально сформированных сетевых запросов. Если проводить понятную аналогию, в руках хакеров «швейцарский нож» с целым набором инструментов для того, чтобы разными способами навредить владельцам сайтов», – сказал он.
Кузьмин также отметил, что дефейс – это одно из самых безобидных последствий, которое угрожает владельцам уязвимых сайтов. По словам эксперта, используя ошибку, хакеры могут сделать с атакованным сайтом практически все что угодно.
«Например, поменять пароли администраторов, из-за чего легитимные владельцы веб-ресурса, скорее всего, потеряют над ним контроль», – заявил он.
Главный специалист департамента аудита ИБ компании T.Hunter Владимир Макаров уточнил, что помимо всего вышеперечисленного злоумышленники могут полностью вывести из строя сайт или оставить на сервере бэкдоры (возможность несанкционированного удаленного доступа — прим. ред.) для использования в любое время.
В пресс-службе компании «1С-Битрикс», которая поддерживает продукт «1С-Битрикс», подтвердили наличие проблемы и сообщили, что к ним с 28 июня поступили жалобы от 16 клиентов. Вместе с тем в компании отметили, что обновление, закрывающее обсуждаемую уязвимость, появилось за несколько месяцев до начала атак.
«Мы внимательно следим и реагируем на любые внештатные ситуации. Модуль «vote» был своевременно обновлен еще в марте 2022 года. А пользователи были проинформированы о выходе обновления и важности оперативной установки этих файлов», – сообщили в компании.
Рано радоваться
Хотя разработчики давно выпустили решение для устранения уязвимости, по словам Кузьмина, под угрозой до сих пор остаются десятки тысяч российских сайтов.
«Уязвимость закрыта разработчиками, но это не означает, что сайты на «1С-Битрикс» защищены. Сама компания отмечает, что регулярные обновления системы безопасности устанавливает только каждый десятый пользователь системы. Шумиха вокруг взлома, возможно, подтолкнула часть беспечных пользователей установить обновления, но, скорей всего, уязвимость все еще содержат десятки тысяч сайтов. Для них проблема точно не решена», – сказал он.
В компании «1С-Битрикс» добавили, что некоторые пользователи могут столкнуться с проблемами, если вредоносный код попал на сайт до установки обновления. Клиентам рекомендуют восстановить сайт из резервной копии, сделанной до заражения, и только после этого установить мартовское обновление, которое закроет доступ для хакеров. Стоит также убедиться, что в бэкапе отсутствуют закладки и случайные файлы.
Это подтверждает и то, что на форуме техподдержки «1С-Битрикс» встречаются посты людей, которые продолжают сталкиваться с атаками хакеров, несмотря на установку обновления, а также отключение и блокировку уязвимого модуля «vote».
По словам Владимира Макарова из T.Hunter, зараженных сайтов может быть очень много, поскольку злоумышленники, эксплуатирующие ошибку, используют автоматизированное средство по поиску и инфицированию уязвимых сайтов в рунете.
«Автоматизированный краулер (программа, сканирующая сайты — прим. ред.) по очереди перебирает ресурсы в зоне .ru и при обнаружении сайта на «1С Битрикс» пробует проэксплуатировать уязвимость. Если ей это удается, то она загружает на сайт скрипт, который меняет пароли у всех пользователей и «кладет» сайт или делает дефейс в назначенную дату», – сказал эксперт.
Выход есть
Тем не менее решение проблемы есть даже для владельцев тех сайтов, которые опоздали с обновлением. Таким клиентам в «1С-Битрикс» рекомендуют восстановить сайт из резервной копии, сделанной до заражения сайта, и только после этого установить мартовское обновление, которое закроет доступ к сайту для хакеров.
«Стоит также убедиться, что [в резервной копии] отсутствуют закладки и случайные файлы», – отметили в пресс-службе «1С-Битрикс».
В свою очередь технический директор одного из крупнейших российских СМИ Алексей Карпов предупредил, что такая операция имеет свою цену.
«Если в результате деятельности злоумышленников была повреждена база данных сайта, то, вероятнее всего, владелец потеряет контент, который был опубликован после создания резервной копии еще нетронутого хакерами ресурса, – сказал он.
Вместе с тем он отметил, что, судя по жалобам людей, столкнувшихся с атаками, хакеры часто портят и базы данных, то есть многим жертвам придется расстаться с частью контента, что особенно чувствительно для интернет-изданий.
Исследователь уязвимостей в Kaspersky ICS CERT Владимир Дащенко рекомендовал при подозрении на компрометацию сайта по возможности провести расследование инцидента и понять, как произошло проникновение в инфраструктуру и насколько глубоко злоумышленники смогли закрепиться.