Kontaktieren Sie uns in Messenger oder per Telefon.

whatsapp telegram viber phone email
+79214188555

Критическая уязвимость в Bitrix

root

СисАдмин Форума
Miembro del equipo
Full members of NP "MOD"
Registrado
17 Feb 2007
Mensajes
677
Puntuación de reacción
1.021
Puntos
93
Edad
57

Дыра в Bitrix стала причиной увеличения числа фишинговых атак​


adobestock_359410096-1-scaled.jpg

Изображение: Adobe Stock

ГК Innostage сообщила о применении критической уязвимости в российском сервисе управления контентом Bitrix. Использование данной уязвимости зафиксировано в фишинговых атаках. Об этом RSpectr рассказали в компании.


Как отмечают в Innostage, уязвимость позволяет злоумышленнику удаленно записать произвольные файлы в систему путем отправки специально сформированных сетевых пакетов.


Активная эксплуатация уязвимости web-сайтов под управлением CMS Bitrix началась 1 июля. На уязвимых сайтах в коде страницы хакеры разместили вредоносный скрипт, перенаправляющий на одну из фишинговых страниц.


«При попадании пользователя на скомпрометированную страницу, загружается скрипт, который проверяет, на каких сайтах уже успел побывать пользователь. После этого происходит двойное перенаправление на страницы, где, в конечном итоге, пользователь попадает на фишинговую страницу», — поясняет руководитель группы мониторинга Центра предотвращения киберугроз CyberART ГК Innostage Ксения Рысаева.


Хакеры могут использовать сайты на Bitrix для кражи учетных записей пользователей и данных платежных карт. Более того — они могут модернизировать скомпрометированные сайты для проведения более серьезных атак.


«Фактически помочь может только обновление зараженных сайтов и устранение на них вредоносных скриптов, а также включить проактивную защиту CMS Bitrix. Поэтому мы рекомендуем в кратчайшие сроки обновить ПО до актуальной версии модуля «vote» — 22.100.300. При возникновении проблем с установкой обновления ПО или невозможности установить обновление онлайн, патч с исправлением можно запросить в технической поддержке «1С-Битрикс», — сообщает эксперт.


Множество сайтов под управлением Bitrix были взломаны 28 июня, в День Конституции Украины. Среди них — ресурсы Росреестра, нескольких вузов и региональных СМИ.

Источник
 
Original message

Дыра в Bitrix стала причиной увеличения числа фишинговых атак​


adobestock_359410096-1-scaled.jpg

Изображение: Adobe Stock

ГК Innostage сообщила о применении критической уязвимости в российском сервисе управления контентом Bitrix. Использование данной уязвимости зафиксировано в фишинговых атаках. Об этом RSpectr рассказали в компании.


Как отмечают в Innostage, уязвимость позволяет злоумышленнику удаленно записать произвольные файлы в систему путем отправки специально сформированных сетевых пакетов.


Активная эксплуатация уязвимости web-сайтов под управлением CMS Bitrix началась 1 июля. На уязвимых сайтах в коде страницы хакеры разместили вредоносный скрипт, перенаправляющий на одну из фишинговых страниц.


«При попадании пользователя на скомпрометированную страницу, загружается скрипт, который проверяет, на каких сайтах уже успел побывать пользователь. После этого происходит двойное перенаправление на страницы, где, в конечном итоге, пользователь попадает на фишинговую страницу», — поясняет руководитель группы мониторинга Центра предотвращения киберугроз CyberART ГК Innostage Ксения Рысаева.


Хакеры могут использовать сайты на Bitrix для кражи учетных записей пользователей и данных платежных карт. Более того — они могут модернизировать скомпрометированные сайты для проведения более серьезных атак.


«Фактически помочь может только обновление зараженных сайтов и устранение на них вредоносных скриптов, а также включить проактивную защиту CMS Bitrix. Поэтому мы рекомендуем в кратчайшие сроки обновить ПО до актуальной версии модуля «vote» — 22.100.300. При возникновении проблем с установкой обновления ПО или невозможности установить обновление онлайн, патч с исправлением можно запросить в технической поддержке «1С-Битрикс», — сообщает эксперт.


Множество сайтов под управлением Bitrix были взломаны 28 июня, в День Конституции Украины. Среди них — ресурсы Росреестра, нескольких вузов и региональных СМИ.

Источник