Взломы сайтов на решениях Аспро: устраняем уязвимости

Уязвимости вендор обнаружил и устранили в обновлениях летом 2023 года. Разработчики намеренно не афишировали детали: что и когда было исправлено. Это было сделано для того, чтобы злоумышленники не узнали их. В актуальных версиях никаких уязвимостей нет. Страдают проекты на старых версиях или перенесенные, но с ошибками, на новые решения. Поэтому в первую очередь мы рекомендуем продлевать лицензию вовремя, чтобы сразу получать обновления и не беспокоиться об угрозах.

Что произошло?

Специалисты SOC белорусского хостинг-провайдера Hoster зафиксировали атаки, нацеленные на уязвимость в платформе электронной коммерции Aspro для взлома Интернет-магазинов.

Платформа Aspro представляет собой модуль электронной коммерции для Bitrix CMS и в основном используется в сегменте СНГ.

Проблема актуальна для пользователей, не обновивших софт до версии Aspro: Next 1.9.9.

Взломы и попытки получения доступа к ресурсам фиксировались с конца августа 2024 года, чаще всего с IPv4-адреса 185.125.219.93.

Точкой входа выступали уязвимые скрипты reload_basket_fly.php, show_basket_fly.php, show_basket_popup.php, а сами файлы - в директории /ajax/ в корне сайта.

Эти файлы реализуют  недостаточную проверку пользовательского ввода, используя небезопасную функцию unserialize в php, из-за чего злоумышленник может внедрить в тело POST-запроса вредоносный код, который будет выполнен при десериализации.

В переменную «arParams» записывается информация из запроса, в который можно добавить полезную нагрузку: например, cat /etc/passwd. Ответ от сервера будет содержать информацию из /etc/passwd в теге.

Анализ логов и процессов сервера показал, что на ресурсах были созданы файлы.

После проведения реверс-инжиниринга и детального изучения стало понятно, что злоумышленники через эту уязвимость загружали веб-шеллы, которые, в свою очередь, подгружали майнер.

Как выяснили в Hoster, проблемное ПО было установлено на сайты десятков клиентов.

Владельцы атакованных ресурсов были оперативно уведомлены, а разработчики Aspro развернули обновление для устранения эксплуатируемой уязвимости.

Как происходил взлом

Взломы и попытки получения доступов к ресурсам фиксировались с конца августа 2024 года. Чаще всего использовался IPv4-адрес 185.125.219.93. Точкой входа были уязвимые скрипты reload_basket_fly.php, show_basket_fly.php, show_basket_popup.php. Файлы находятся в директории /ajax/ в корне сайта, например /var/www/www-root/data/www/test.by/ajax/.

Эти файлы недостаточно проверяют пользовательский ввод, а также используют небезопасную функцию unserialize в php, из-за чего злоумышленник может внедрить в тело POST-запроса вредоносный код, который будет выполнен при десериализации, реализовав тем самым удаленное выполнение кода (RCE).

В переменную «arParams» записывается информация из запроса, в который можно добавить полезную нагрузку: например, cat /etc/passwd. Ответ от сервера будет содержать информацию из /etc/passwd в теге.

Коллеги из eu-digital.ru исследовали проблему: После проведения реверс-инжиниринга и детального изучения исполняемых файлов стало понятно, что злоумышленники через эту уязвимость загружали веб-шеллы, которые в свою очередь подгружали майнер.

«Мы не нашли следов каких-либо деструктивных действий по отношению к чувствительной информации клиентов. Поэтому полагаем, что в инцидентах целью злоумышленников был заработок через майнинг криптовалюты, — прокомментировал руководитель центра кибербезопасности hoster.by Антон Тростянко. — Но не исключено, что это было только началом, и отсутствие быстрой реакции со стороны центра кибербезопасности могло бы привести к утечкам конфиденциальной информации или персональных данных».

Детали взлома

Выявлены все IPv4-адреса злоумышленников:

185.125.219.93

204.8.96.167

45.61.185.172

185.220.101.15

31.133.0.26

149.102.246.22

185.220.100.240

185.130.44.59

185.40.4.100

185.220.101.14

45.139.122.176

185.40.4.92

46.226.166.50

185.220.100.253

5.252.118.211

178.236.246.200

89.22.225.211

89.22.237.65

178.236.247.6

107.189.1.167

185.244.192.175

109.70.100.65

79.137.206.177

165.232.173.61

143.198.201.214

185.220.100.252

185.207.107.216

185.220.101.36

А вот и информация о самом Майнере (xmrig):

COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME

k 30243 bitrix cwd DIR 253,1 4096 2 /

k 30243 bitrix rtd DIR 253,1 4096 2 /

k 30243 bitrix txt REG 253,1 6641480 806456

/home/bitrix/www/bitrix/components/bitrix/sender.call.text.editor/templates/k (deleted)

k 30243 bitrix 0r CHR 1,3 0t0 1028 /dev/null

k 30243 bitrix 2w REG 253,1 281 132679 /var/log/httpd/error_log

k 30243 bitrix 3u a_inode 0,10 0 6667 [eventpoll]

k 30243 bitrix 4r FIFO 0,9 0t0 26299078 pipe

k 30243 bitrix 5w FIFO 0,9 0t0 26299078 pipe

k 30243 bitrix 6r FIFO 0,9 0t0 26297335 pipe

k 30243 bitrix 7w FIFO 0,9 0t0 26297335 pipe

k 30243 bitrix 8u a_inode 0,10 0 6667 [eventfd]

k 30243 bitrix 9u a_inode 0,10 0 6667 [eventfd]

k 30243 bitrix 10u a_inode 0,10 0 6667 [eventfd]

k 30243 bitrix 11u unix 0xffffa10ac7a6bb80 0t0 26299076 @xdebug-ctrl.9569yxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx-]xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

k 30243 bitrix 12r CHR 1,3 0t0 1028 /dev/null

k 30243 bitrix 13u IPv4 26515767 0t0 TCP 178.172.173.202:51646->188.165.76.243:8432 (ESTABLISHED)

Майнер: XMRig 6.21.0

Пул: auto.skypool.xyz:9999

Кошелек: 89HPFywqM4mFLW6JWEQxWzE2PFeYgp2AtT4upyFXmQ3g9FbJ5y42wZQSZQ71-knBn7abKjRvFn7Y5qUT4dhym3ZS1PkCE4pJ

Какие проекты наиболее вероятно под рисками взлома

• Решения от Аспро, которые сняты с поддержки;

• Проекты, которые не обновлялись с лета 2023 года;

• Проекты, которые мигрировали со старых решений.

Как проверить и обезопасить свои проекты

Выбирайте ваше решение и следуйте инструкции.

Интернет-магазины и корпоративные сайты

• Аспро: Лайтшоп

• Аспро: Премьер

• Аспро: Максимум

• Аспро: Next

• Аспро: Оптимус

• Аспро: Маркет

• Аспро: Приорити 2.0

• Аспро: Корпоративный сайт 3.0

• Аспро: Корпоративный сайт 2.0

• Аспро: Корпоративный сайт современной компании

• Аспро: Корпоративный сайт

Отраслевые сайты

• Аспро: Автосервис

• Аспро: Ландшафт 2.0

• Аспро: Курорт 2.0

• Аспро: Детский сад и образовательный центр

• Аспро: Инжиниринг

• Аспро: Стройка 2.0

• Аспро: Медицинский центр 3.0

• Аспро: Digital 2.0

• Аспро: Металл

• Аспро: Шины и диски 2.0

Решения, снятые с поддержки

Для устранения уязвимости в старых решениях используйте следующую инструкцию, она общая и универсальная, подходит для всех решений. Это поможет защитить сайты:

• Аспро: Digital

• Аспро: Интернет-магазин

• Аспро: Крутой шоп

• Аспро: Ландшафт

• Аспро: Медицинский центр 2.0

• Аспро: Курорт

• Аспро: Стройка

• Аспро: Шины и диски

• Аспро: Приорити

Патчер для устранения уязвимости

Аспро сделали для патчер, который автоматически просканирует сайт, покажет и устранит уязвимости. Потребуется его скачать, установить на сайт и запустить. Это поможет просто обезопаситься без копания в коде, обновления и потери кастомизации. Как воспользоваться патчером, подробно описали в инструкции по кнопке ниже.

Обратитесь в Оверплан для получения поддержки по вашему проекту!

 

Напишите, и мы ответим