Волна взломов 1С-Битрикс: как спасти свой сайт и избежать штрафа?

Если сайт вашей компании на 1С-Битрикс, не спешите пролистывать этот пост — ну или хотя бы перешлите его своим разработчикам. Спасибо потом скажете (и себе и мне).

С началом СВО кибератаки на сайты российских компаний увеличились кратно — буквально раз в десять по моим наблюдениям. И, в первую очередь атакам подвергаются сайты, выполненные на “коробочных” CMS — 1С-Битрикс, WordPress, и т.д.

Недавно вычитал о взломе Ашана, сайт которого обслуживают наши друзья. В сеть утекли данные около 8 млн. покупателей.

А в конце сентября в 1С-Битрикс обнаружена новая критическая уязвимость, с помощью которой злоумышленник может "выполнить команды ОС на уязвимом узле, получить контроль над ресурсами и проникнуть во внутреннюю сеть".

Самое безобидное, что может после этого случится — у вас просто стянут все данные. Но, что хуже — злоумышленник сможет полностью удалить данные с вашего сервера — это уже гораздо менее приятный поворот событий для многих.

Логика взломщиков понятна — “шаблонные” CMS обладают такими же шаблонными уязвимостями. И, если удалось проникнуть на один сайт, почему бы не использовать ту же отмычку для попытки проникновения и на другие сайты, работающие на той же платформе? Чем платформа популярнее, тем выше риски попасть под такой взлом через известные уязвимости. Это, кстати, одна из важных причин того, почему не стоит делать крупные проекты на шаблонных CMS-решениях (другие причины я описал в свое время в своей статье на VC — статья немного устарела, но всё еще актуальна).

Если сайт вашей компании выполнен на 1С-Битрикс, советую, как минимум, обновиться до последней актуальной версии и хранить бэкапы отдельно от “боевого” сервера, на котором крутится сайт.

А, как максимум, передайте своим инженерам файл с рекомендациями об устранении наиболее частых уязвимостей 1С-Битрикс, заботливо составленный ребятам из CyberOK.

Честно говоря, я до вчерашнего дня не знал эту компанию, а сам файл нашел в канале Алексея Лукацкого — известного эксперта в сфере кибербезопасности. Но я показал его нашим инженерам и они одобрили его для рекомендации вам.

Если всерьез озабочены своей безопасностью — переводите интернет-проекты на фреймворки. Мы, например, работаем с PHP Laravel. Python Django — тоже хорошо.

Но и тут важно управлять техническим долгом: не забывать обновляться до последних стабильных версий языков и используемых библиотек.

P.S. Кто-то возразит — мол, сложные сайты на Битре обновлять долго и дорого. А штраф за утечку данных невелик — всего 60 000 рублей. Но, во-первых, стоит не забывать о том, что штрафы скоро станут оборотными. А, во-вторых, в прошлом году мы помогали одной большой компании устранять последствия вот такого взлома (сайт делали не мы, мы лишь помогали бороться с последствиями), в то время, как собственная служба безопасности разбиралась с шантажом со стороны злоумышленников, сумевших через сайт получить доступ к куда более интересным данным, чем просто списки покупателей.

P.P.S. Если сами не справитесь с устранением уязвимостей — обращайтесь. Поможем устранить известные уязвимости. Неизвестные тоже найдем, устраним и напишем новую статью 🙂