В Базе данных уязвимостей ФСТЭК России появились записи о найденных уязвимостях кода в ПО Битрикс24, входящем в Реестр отечественного программного обеспечения Минцифры России. Позднее информация о как минимум семи новых уязвимостях, часть из которых — критические, была размещена и на сайте разработчика — ООО «1С-Битрикс».
Уязвимости опасны для ПО «1С-Битрикс: Управление сайтом» и «1C-Битрикс24». Они связаны с ошибками в обработке и импорте данных, а также в конфигурации веб-проекта. Эти бреши могут привести к атакам типа «отказ в обслуживании» и повышению привилегий злоумышленника.
Как отмечают эксперты в области ИБ, исправлений указанных уязвимостей на сегодня нет. В качестве компенсирующих мер специалисты ФСТЭК предлагают:
- отключение/удаление неиспользуемых учётных записей пользователей;
- минимизация пользовательских привилегий;
- использование средств межсетевого экранирования уровня веб-приложений;
- контроль журналов доступа к серверу на наличие запросов к «/upload/tmp/» по протоколу HTTP.
.jpg)
.png)