Критическая уязвимость (CVE-2022-27228) в 1С-Битрикс: Управление сайтом
Вчера на множество сайтов России была проведена массовая кибератака. В том числе, были взломаны сайты на системе управления 1С-Битрикс из-за критической уязвимости в модуле "vote" (Опросы, голосования). Проблема подтверждена разработчиком системы управления. Для устранения уязвимости рекомендуется обновить модуль как минимум до версии 21.0.100. Надо отметить, что эта версия вышла еще 4 марта. Но не все проекты имеют активные лицензии с обновлением, и не все даже при доступности обновлений регулярно проверяют их.
Обсуждение на форуме разработчиков БУС: https://dev.1c-bitrix.ru/support/forum/forum6/topic147346/
Справочно об уязвимости:
BDU:2022-01141: Уязвимость модуля «vote» системы управления содержимым сайтов (CMS) 1С-Битрикс: Управление сайтом, связанная с возможностью отправки специально сформированных сетевых пакетов, позволяющая нарушителю записать произвольные файлы в уязвимую систему.
Информация в Банке данных угроз безопасности информации ФСТЭК России: https://bdu.fstec.ru/vul/2022-01141
Информация в хелпдеске Битрикс: https://helpdesk.bitrix24.com/open/15536776/