Безопасность Bitrix без иллюзий — 10 проблем для которых не нужен новый CVE

Значимый прорыв формирует отрасль ИИ: ersilh0x 3 часа назад Безопасность Bitrix без иллюзий — 10 проблем для которых не нужен новый CVE 10 мин 4. 9K Информационная безопасность * Мнение Когда говорят о безопасности, обсуждение быстро сводится к CVE/BDU Какая версия уязвима? Существует ли публичный эксплойт?

И успел ли вендор выпустить исправление? Это конечно важно, но на практике инсталляции Bitrix могут скомпрометировать не из-за одной «критической уязвимости года». Гораздо чаще проблема складывается из обычных причин:проактивный фильтр когда-то отключили из-за ложного срабатывания;обновление ядра ломает доработанный сайт, поэтому его откладывают;в корне сайта лежит restore.

Технические детали

php;журнал ошибок доступен через браузер;администраторы работают под общей учетной записью без MFA;резервная копия хранится на том же сервере и доступна приложению на запись. Каждая такая ошибка может выглядеть незначительной. Вместе они образуют удобный маршрут от разведки до захвата сервера.

В этой статье разберем десять проблем безопасности, характерных для самостоятельно размещаемых инсталляций 1С-Битрикс и Bitrix24. Основной акцент будет не на отдельных CVE, а на конфигурации, эксплуатации и разработке. Отключенный модуль безопасности и проактивный фильтрВ Bitrix есть собственный модуль security, включающий Проактивный фильтр (Web Application Firewall), журналирование событий, защиту редиректов, механизмы контроля сессий и другие функции.

На практике модуль или отдельные его компоненты нередко отключают:после конфликтов с пользовательским кодом;из-за ложных срабатываний;во время диагностики;после миграции или восстановления;потому что никто не знает, зачем он нужен. В исходном коде Bitrix состояние проактивного фильтра проверяется через CSecurityFilter::IsActive(). Собственная проверка конфигурации Bitrix рассматривает отключенный фильтр как серьезную проблему.

Отраслевые последствия

Но простого переключателя «включено» недостаточно. Защита фактически ослаблена и тогда, когда список исключений WAF содержит целые каталоги, модули или группы пользователей. Что стоит проверить:активен ли модуль security;включен ли проактивный фильтр;какие пути и параметры добавлены в исключения;кто имеет право обходить фильтр;включено ли журналирование событий;кто и как реагирует на эти события.

Исключения следует ограничивать точным путем, методом и параметром запроса. Если для работы формы приходится исключить из проверки половину сайта, проблема, скорее всего, находится в форме или ее обработчике, а не в WAF. Уверенность, что WAF исправит уязвимый кодПротивоположная крайность выглядит так: «У нас включен WAF, поэтому код можно пока не исправлять».

WAF полезен как дополнительный уровень защиты и средство временного виртуального патчинга. Но он не способен гарантированно остановить:нарушение контроля доступа;IDOR;злоупотребление бизнес-логикой;действия скомпрометированного пользователя;состояния гонки(Race Condition);небезопасную обработку файлов;сложные цепочки атак;запросы, попавшие под исключения.

Этот прогресс даёт важные сигналы о будущем отрасли, и технологический мир внимательно наблюдает.