«Никогда такого не было, и вот опять»: разбираем атаку c эксплуатацией уязвимости в подключаемом модуле Bitrix

[AlexCatLeva]

Битрикс, такая большая какашка, распарена маркетологами

[positroid]

Ни в коем случае не опровергаю утверждение, но уязвимость все же была в стороннем модуле, причем даже платном.

Такая же история может случиться (и часть случается) с любым продуктом, который допускает расширение своих функций за счет пользовательских модулей / плагинов / etc.

[vKreker]

Тоже залили эксплоиты через bitrix/admin/esol_export_xml_cron_settings.php пару дней назад на сайт.

Решил исследовать, что вообще происходит. Разобрал один файл. Само собой, в нем есть возможность выполнения любых файлов по URL.

Что дальше происходит технически, мне пока не до конца ясно, но визуально выглядит так, как-будто имитируется наличие большого товарного каталога на сайте, и anthropic + claude обходят этот каталог...

[ALapinskas]

В СМИ периодически появляется информация об массовых атаках на сайты на базе Bitrix с использованием уязвимостей в сторонних модулях — например, недавно компания предупреждала об уязвимости в подключаемых модулях от eSolutions и «Маяк».

Находил троянец в стороннем модуле для битрикс. Причем модуль был загружен с официального маркетплейса.

[Pitcentr0]

В данном случае история массового взлома могла стать следствие того что разработчики сами указали что закрыли уязвимость в своих логах обновления продукта что однозначно означало что уязвимость будет у тех кто не обновил модуль а таких очень большой процент и все посыпалось.

[Palesandr]

а что значит " как они выглядят in the wild "?

[lez]

"В дикой природе", то есть как такая атака выглядит в реальной жизни.