Уязвимость в 1С-Битрикс, Аспро (Aspro) — Февраль 2025

В этом году февраль в нашей компании начался крайне необычно. Всегда приходим на работу чуть раньше, а иногда и сильно — чтобы задать темп на весь день, но во вторник убедились, что делаем это не зря: мониторинг бил тревогу — один из сайтов наших клиентов взломали и удалили с сервера. Очень неожиданно, такого 3 года как не случалось — неустаревающая классика.

По результату бэкап сайта быстро нашли, восстановили и начали чистить вирусы, параллельно разбираясь, откуда пришла эта неприятность. Узнали, что у решений Аспро, с которыми мы очень любим работать и часто рекомендуем их нашим клиентам, взломщики нашли уязвимость.

Как и откуда

Обнаружена разработчиками Aspro летом 2023 года — устранена в обновлениях, но детали не афишировались, что логично, чтобы злоумышленники не узнали о ней.

Всплеск взломов начался с конца августа 2024 года, когда злоумышленники начали активно эксплуатировать эту уязвимость.

Что плохого во взломе и какие последствия

Владельцы взломанных сайтов сталкиваются с несколькими последствиями:

• Появляется доступ к  выполнению произвольных команд на сервере.
• Возможна загрузка и запуск майнеров криптовалюты, что приводит к повышенной нагрузке на сервер и сайт начинает работать медленно — что критично для современных пользователей.
• Возможна утечки конфиденциальной информации или персональных данных

Уязвимость находится в скриптах, расположенных в директории /ajax/ в корне сайта. Это файлы:

• reload_basket_fly.php
• show_basket_fly.php
• show_basket_popup.php
  Проблема заключается в использовании небезопасной функции unserialize в PHP, которая позволяет злоумышленникам внедрять вредоносный код через POST-запросы.

Помимо этих файлов unserialize может быть, как минимум, в двух файлах ( в зависимости от решения):
/ajax/form.php
/bitrix/components/aspro/oneclickbuy.next/script.php (или oneclickbuy.max)

Что делать, чтобы не обнаружить такой сюрприз наутро 

Чтобы предотвратить заражение, необходимо:

• Обновить CMS и модули до последних версий. В актуальных версиях Aspro уязвимость устранена.
• Использовать патчер, предоставленный Aspro, для автоматического сканирования и устранения уязвимостей. Но только с осторожностью — у него должны права на редактирования и, возможно, затрутся доработки в этих файлах, если они были.
• Вручную исправить уязвимость — добавить второй параметр [‘allowed_classes’ => false]
• Сменить пароли для админов, сменить доступы ssh/ftp
• Остановить вредоносные процессы на сервере, если заражение уже произошло.
• Проверить сайт на наличие вредоносных файлов (например, веб-шеллов) и удалить их.
• Обратиться в техническую поддержку за помощью, если самостоятельно устранить проблему не удается.

Также есть классическая проверенная рекомендация регулярно обновлять программное обеспечение и следить за безопасностью сайта, чтобы избежать подобных инцидентов в будущем. Для полной защиты сайта рекомендуется обновить CMS и модули до актуальных версий, где уязвимость уже устранена.

К сожалению, все без исключения могут следовать им только в идеальном мире. Многие сайты наших клиентов имеют функционал, разработанный под них и не имеют возможности обновления без его полной или частичной потери.

Как раз такие клиенты были проверены первыми на предмет взлома в день получения информации об угрозе — взломы подтвердились ещё у 3х сайтов. К вечеру все сидели на карантине — под мониторингом и уже с первой версией закрытия уязвимости. Через сутки повторного заражения не было, через неделю — тоже.

В конце недели информация об этой уязвимости пришла со стороны Битрикс и Аспро, но у нас уже всё было спокойно и обеззаражено собственными силами и методами, по следам сделана рассылка с приглашением на диагностику. На той неделе мы много шутили в команде на темы “почти как прививку, делаем подконтрольно” или “приглашаем на осмотр ввиду сезонности заболевания” и так далее.

Всё прошло быстро и без последствий — удаление вирусов с сайтов наша сильная сторона с 22 года — в то время каждый месяц появлялся зараженный сайт (Битрикс, WordPress, самописная система) а мы тренировали методологию. Рады что с тех пор и возможности ушли вперед, и есть возможности быстро получить информацию о похожих случаях и оперативно подобрать решения для конкретных сайтов, чтобы бизнес клиентов не страдал от последствий.