st3l1n Jun 10 2025 at 14:34

«Никогда такого не было, и вот опять»: разбираем атаку c эксплуатацией уязвимости в подключаемом модуле Bitrix

Easy

7 min

11K

МТС corporate blogInformation Security * 1С-Bitrix * PHP * System administration *

✏️ Technotext 8

+39

Comments 7

AlexCatLeva Jun 10 2025 at 14:47

Битрикс, такая большая какашка, распарена маркетологами

positroid Jun 10 2025 at 16:57

Ни в коем случае не опровергаю утверждение, но уязвимость все же была в стороннем модуле, причем даже платном.

Такая же история может случиться (и часть случается) с любым продуктом, который допускает расширение своих функций за счет пользовательских модулей / плагинов / etc.

vKreker Jun 11 2025 at 00:47

Тоже залили эксплоиты через bitrix/admin/esol_export_xml_cron_settings.php пару дней назад на сайт.

Решил исследовать, что вообще происходит. Разобрал один файл. Само собой, в нем есть возможность выполнения любых файлов по URL.

Что дальше происходит технически, мне пока не до конца ясно, но визуально выглядит так, как-будто имитируется наличие большого товарного каталога на сайте, и anthropic + claude обходят этот каталог...

ALapinskas Jun 11 2025 at 05:16

В СМИ периодически появляется информация об массовых атаках на сайты на базе Bitrix с использованием уязвимостей в сторонних модулях — например, недавно компания предупреждала об уязвимости в подключаемых модулях от eSolutions и «Маяк».

Находил троянец в стороннем модуле для битрикс. Причем модуль был загружен с официального маркетплейса.

Pitcentr0 Jun 11 2025 at 05:51

В данном случае история массового взлома могла стать следствие того что разработчики сами указали что закрыли уязвимость в своих логах обновления продукта что однозначно означало что уязвимость будет у тех кто не обновил модуль а таких очень большой процент и все посыпалось.

Palesandr Jun 11 2025 at 06:30

а что значит " как они выглядят in the wild "?

lez Jun 16 2025 at 08:39

"В дикой природе", то есть как такая атака выглядит в реальной жизни.