Комментарии 3
Такие серьезные компании (как Битрикс) в текущее время должны ставить безопасность на первые места, реагировать на выявленные проблемы молниеносно.
2 недели - это мягко говоря "не оперативно"
Установочный скрипт изначально не входил в их модель угроз (ведь ответственные пользователи должны удалять его) - такие высказывания наталкивают на мысль что им можно писать небезопасный код, как минимум к этому могут привыкать разработчики, а во вторых завтра этот код может быть портирован в другой модуль... Плохая практика с их стороны.
А по фишингу как вы провели пентест? вышли на админа? или с правами обычного пользователя смогли повысить права до администратора какими то методами?
Уязвимости был присвоен уровень критичности CVSS v3 3.3 - низкий уровень опасности. Поэтому такую уязвимость могли не рассматривать в срочном порядке.
ЕМНИП, в функциональность скрипта входила функция, удаляющая его после завершения процесса установки, поэтому эта модель угроз существовала не просто на словах. Да, возможно, она не идеальная, но компромиссная для бизнеса.
Да, в результате фишинга смогли получить сессию администратора приложения, загрузили веб-шелл, затем на машине подняли привилегии через cron-скрипт с правами 777 и вышли в домен.
Удалить нельзя эксплуатировать: как мы нашли уязвимость в установщике Битрикс