29 июня 2022 года «1С-Битрикс» опровергла наличие в своей системе критичных уязвимостей для взлома сайтов. Клиенты пояснили, что 28 июня хакеры использовали в инциденте обнародованную еще в марте уязвимость BDU:2022-01141 в модуле vote системы управления содержимым сайтов (CMS) «1С-Битрикс: Управление сайтом», которая была закрыта разработчиками. Но не все клиенты обновили свои системы. Те из администраторов сайтов, кто это не сделал, массово столкнулись с проблемами: удалена и потом заменена главная страница, удален .settings.php, удалены инфоблоки с элементами, были взломаны права на папку с сайтами, сменены пароли админов.
Разработчики сайтов пояснили на форуме «1С-Битрикс», что их взломали с помощью записанных в папку upload файлов (например, /upload/tmp/BXTEMP-2022-06-28/), которые добавляют и запускают агента (ID=1). По их мнению, это напрямую связано с уязвимостью модуля vote (возможность отправки специально сформированных сетевых пакетов, эксплуатация уязвимости может позволить нарушителю, действующему удаленно, записать произвольные файлы в уязвимую систему), известной ещё с апреля, но на их сайтах не было обновлений, в которых была исправлена ошибка безопасности. На проблемных серверах был модуль vote ниже 21.0.100. Другие администраторы сайтов предупредили, что, возможно, использовались и другие критические уязвимости. У некоторых были взломаны сразу десятки проектов на разных хостингах с разными версиями «1С-Битрикс».
Документация по инциденту от администраторов сайтов. Пример действий по восстановлению сайтов, а также полный разбор манипуляций для этого.
Вдобавок администраторы сайтов предположили, что хакеры использовали уязвимости в виртуальных машинах Bitrix VM, так как сайты не на Bitrix VM с обновлениями от апреля взломаны не были.
«Все случаи взломов связаны с отсутствием обновлений сайтов со стороны клиентов. Все уязвимости были устранены несколько месяцев назад, бесплатные обновления были выпущены. Клиенты были проинформированы», — заявили в «1С-Битрикс».
Компания пояснила, что только 10% клиентов постоянно обновляют свои сайты, из-за чего уровень их информационной безопасности остается недостаточно высоким. «Только регулярные обновления сайтов обеспечивают высокий уровень безопасности. Риски атак в последнее время значительно возросли», — предупредили в «1С-Битрикс».
Среди порталов крупных организаций, которые были взломаны с помощью этой уязвимости были сайты Росреестра и Совета по правам человека.