Уязвимые скрипты: наш SOC раскрыл цепочку взломов интернет-магазинов
Наш центр кибербезопасности обнаружил цепочку взломов сайтов, преимущественно интернет-магазинов. Уязвимость касается тех, кто использует продукты «Аспро» для веб-ресурсов на основе системы 1С-Битрикс. Проблема актуальна для пользователей, не обновивших софт до версии Аспро: Next 1.9.9.
Проблемное ПО установлено на сайты десятков клиентов. Владельцы атакованных ресурсов были оперативно уведомлены, а уязвимость быстро закрыта. Наши специалисты по кибербезопасности разработали инструкцию для владельцев сайтов на CMS 1С-Битрикс. С ее помощью вы или ваш технический специалист можете проверить свой сайт и закрыть уязвимость.
Как взламывали сайты
Взломы и попытки получения доступов к ресурсам фиксировались с конца августа 2024 года. Чаще всего использовался IPv4-адрес 185.125.219.93. Точкой входа были уязвимые скрипты reload_basket_fly.php, show_basket_fly.php, show_basket_popup.php. Файлы находятся в директории /ajax/ в корне сайта, например /var/www/www-root/data/www/test.by/ajax/.
Эти файлы недостаточно проверяют пользовательский ввод, а также используют небезопасную функцию unserialize в php, из-за чего злоумышленник может внедрить в тело POST-запроса вредоносный код, который будет выполнен при десериализации, реализовав тем самым удаленное выполнение кода (RCE).
В переменную «arParams» записывается информация из запроса, в который можно добавить полезную нагрузку: например, cat /etc/passwd. Ответ от сервера будет содержать информацию из /etc/passwd в теге.
Пример эксплуатации уязвимости на сайте магазина косметики.
При создании запроса к эксплуатируемому файлу на ресурсе сначала необходимо привести полезную нагрузку в специальный формат, а именно сериализовать. Для этого достаточно указать сам вредоносный код и его длину. Именно поэтому при передаче в качестве полезной нагрузки, например, команды "cat /etc/passwd" предыдущим значением идёт число 15.
Результат выполнения команды "id" говорит о том, что все действия осуществляются из-под учетной записи bitrix.
Анализ логов и процессов сервера показал, что на ресурсах были созданы файлы, которые затем были найдены и изъяты сотрудниками нашего центра кибербезопасности.
После проведения реверс-инжиниринга и детального изучения исполняемых файлов стало понятно, что злоумышленники через эту уязвимость загружали веб-шеллы, которые в свою очередь подгружали майнер.
«Мы не нашли следов каких-либо деструктивных действий по отношению к чувствительной информации клиентов. Поэтому полагаем, что в инцидентах целью злоумышленников был заработок через майнинг криптовалюты, — прокомментировал руководитель центра кибербезопасности hoster.by Антон Тростянко. — Но не исключено, что это было только началом, и отсутствие быстрой реакции со стороны центра кибербезопасности могло бы привести к утечкам конфиденциальной информации или персональных данных».
Выявленные индикаторы компрометации
В ходе реагирования и расследования мы нашли следующие вредоносные файлы:
Файл 3.php. Обфусцированный веб-шелл filesman. Он был загружен со стороннего ресурса и размещен по адресу https://www.raiskiysad.ru/upload/iblock/0df/3.php
md5 hash: 07a3fe9875d3a8b7c57874c4cc509929
Файл 4.php. Обфусцированный веб-шелл, через который запускался майнер
md5 hash: 50b7604d856f36983b9bb3066f894f3f
Кроме того, в ходе расследования были выявлены все IPv4-адреса злоумышленников:
185.125.219.93
204.8.96.167
45.61.185.172
185.220.101.15
31.133.0.26
149.102.246.22
185.220.100.240
185.130.44.59
185.40.4.100
185.220.101.14
45.139.122.176
185.40.4.92
46.226.166.50
185.220.100.253
5.252.118.211
178.236.246.200
89.22.225.211
89.22.237.65
178.236.247.6
107.189.1.167
185.244.192.175
109.70.100.65
79.137.206.177
165.232.173.61
143.198.201.214
185.220.100.252
185.207.107.216
185.220.101.36
А вот и информация о самом Майнере (xmrig):
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
k 30243 bitrix cwd DIR 253,1 4096 2 /
k 30243 bitrix rtd DIR 253,1 4096 2 /
k 30243 bitrix txt REG 253,1 6641480 806456
/home/bitrix/www/bitrix/components/bitrix/sender.call.text.editor/templates/k (deleted)
k 30243 bitrix 0r CHR 1,3 0t0 1028 /dev/null
k 30243 bitrix 2w REG 253,1 281 132679 /var/log/httpd/error_log
k 30243 bitrix 3u a_inode 0,10 0 6667 [eventpoll]
k 30243 bitrix 4r FIFO 0,9 0t0 26299078 pipe
k 30243 bitrix 5w FIFO 0,9 0t0 26299078 pipe
k 30243 bitrix 6r FIFO 0,9 0t0 26297335 pipe
k 30243 bitrix 7w FIFO 0,9 0t0 26297335 pipe
k 30243 bitrix 8u a_inode 0,10 0 6667 [eventfd]
k 30243 bitrix 9u a_inode 0,10 0 6667 [eventfd]
k 30243 bitrix 10u a_inode 0,10 0 6667 [eventfd]
k 30243 bitrix 11u unix 0xffffa10ac7a6bb80 0t0 26299076 @xdebug-ctrl.9569yxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx-]xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
k 30243 bitrix 12r CHR 1,3 0t0 1028 /dev/null
k 30243 bitrix 13u IPv4 26515767 0t0 TCP 178.172.173.202:51646->188.165.76.243:8432 (ESTABLISHED)
Майнер: XMRig 6.21.0
Пул: auto.skypool.xyz:9999
Кошелек: 89HPFywqM4mFLW6JWEQxWzE2PFeYgp2AtT4upyFXmQ3g9FbJ5y42wZQSZQ71-knBn7abKjRvFn7Y5qUT4dhym3ZS1PkCE4pJ
Как решить проблему, если вы нашли указанную уязвимость
Если вы обнаружили проблемные скрипты на своем ресурсе, необходимо:
1. Остановить все вредоносные процессы.
2. Сменить пароли всех используемых учетных записей 1C-Битрикс.
3. Обновить CMS и все ее модули до последних версий.
4. Если вы не можете быстро обновить ПО, внесите дополнения в скрипты reload_basket_fly.php, show_basket_fly.php, show_basket_popup.php. А именно — замените на $arParams = json_decode($_REQUEST["PARAMS"]). Этого дополнения достаточно, чтобы злоумышленник не взломал сайт, пока вы обновляете все модули, но недостаточно для корректной работы ресурса.
Если самостоятельно проблему решить не удалось, наша техподдержка всегда будет готова помочь. И помните, что специалисты нашего центра кибербезопасности всегда к вашим услугам.