Как стать автором
Обновить

Удалить нельзя эксплуатировать: как мы нашли уязвимость в установщике Битрикс

Уровень сложностиСредний
Время на прочтение6 мин
Количество просмотров5.5K
Всего голосов 18: ↑18 и ↓0+19
Комментарии3

Комментарии 3

Такие серьезные компании (как Битрикс) в текущее время должны ставить безопасность на первые места, реагировать на выявленные проблемы молниеносно.

2 недели - это мягко говоря "не оперативно"

Установочный скрипт изначально не входил в их модель угроз (ведь ответственные пользователи должны удалять его) - такие высказывания наталкивают на мысль что им можно писать небезопасный код, как минимум к этому могут привыкать разработчики, а во вторых завтра этот код может быть портирован в другой модуль... Плохая практика с их стороны.

А по фишингу как вы провели пентест? вышли на админа? или с правами обычного пользователя смогли повысить права до администратора какими то методами?

Уязвимости был присвоен уровень критичности CVSS v3 3.3 - низкий уровень опасности. Поэтому такую уязвимость могли не рассматривать в срочном порядке.

ЕМНИП, в функциональность скрипта входила функция, удаляющая его после завершения процесса установки, поэтому эта модель угроз существовала не просто на словах. Да, возможно, она не идеальная, но компромиссная для бизнеса.

Да, в результате фишинга смогли получить сессию администратора приложения, загрузили веб-шелл, затем на машине подняли привилегии через cron-скрипт с правами 777 и вышли в домен.

насчет функции удаления - в таком случае у администратора должно быть соощение / оповещение о том что такой скрипт не удален - это было бы логично

в целом вектор атаки понятен

удачи в будущих пентестах

Зарегистрируйтесь на Хабре, чтобы оставить комментарий