В Базе данных уязвимостей ФСТЭК России появились записи о найденных уязвимостях кода в ПО Битрикс24, входящем в Реестр отечественного программного обеспечения Минцифры России. Позднее информация о как минимум семи новых уязвимостях, часть из которых — критические, была размещена и на сайте разработчика — ООО «1С-Битрикс».

Уязвимости опасны для ПО «1С-Битрикс: Управление сайтом» и «1C-Битрикс24». Они связаны с ошибками в обработке и импорте данных, а также в конфигурации веб-проекта. Эти бреши могут привести к атакам типа «отказ в обслуживании» и повышению привилегий злоумышленника.

Как отмечают эксперты в области ИБ, исправлений указанных уязвимостей на сегодня нет. В качестве компенсирующих мер специалисты ФСТЭК предлагают:

• отключение/удаление неиспользуемых учётных записей пользователей;
• минимизация пользовательских привилегий;
• использование средств межсетевого экранирования уровня веб-приложений;
• контроль журналов доступа к серверу на наличие запросов к «/upload/tmp/» по протоколу HTTP.