Перейти к основному контенту
Технологии и медиа ,  
0 

Регулятор сообщил об уязвимостях в популярном IT-сервисе «Битрикс24»

Что нужно сделать пользователям, чтобы снизить риски
ФСТЭК заявила о найденных уязвимостях в IT-сервисе для бизнеса «Битрикс24»
ФСТЭК сообщила об уязвимостях в «Битрикс24» — одном из популярных IT-сервисов для бизнеса в Рунете. Разработчик настаивает, что устранил проблемы еще в марте. Эксперты напоминают о необходимости провести обновление софта
Фото: Владислав Шатило / РБК
Фото: Владислав Шатило / РБК

В Банке данных угроз безопасности информации Федеральной службы по техническому и экспортному контролю (ФСТЭК) появилась информация об обнаружении восьми уязвимостей в сервисе для управления бизнесом «Битрикс24». Этот банк создан регулятором для «повышения информированности заинтересованных лиц о существующих угрозах безопасности информации» и предназначен для заказчиков, операторов, разработчиков информационных систем и их систем защиты и других заинтересованных организаций и лиц.

«Битрикс24» — сервис компании «1С-Битрикс», которая разрабатывает системы управления веб-проектами и корпоративными порталами. Он включает в себя корпоративный портал с чатом, диском, календарем, группами и другими инструментами, систему управления продажами и коммуникациями с клиентами (CRM), контакт-центр и др. По данным IT-маркетплейса Market.CNews, «Битрикс24» — лидер рейтинга CRM-систем для среднего и малого бизнеса в 2023 году.

Как сообщил РБК представитель «1С-Битрикс», все перечисленные ФСТЭК уязвимости были закрыты еще в марте этого года, а компания, оказывающая услуги кибербезопасности (изначально уязвимости обнаружила сингапурская компания STAR Labs), опубликовала отчет о них в начале ноября, поскольку разглашение уязвимостей «белыми хакерами» происходит всегда позже обнаружения, чтобы вендор успел их исправить, а пользователи — установить обновления, устраняющие брешь.

В IPhone нашли позволявшую устанавливать шпионскую программу уязвимость
Технологии и медиа
Фото:David Ramos / Getty Images

Представитель «1С-Битрикс» указал, что все облачные версии «Битрикс24» «давно обновлены и защищены от этих уязвимостей». Установленные на оборудовании заказчиков коробочные версии необходимо обновить, и в компании настаивают, что их техподдержка «не получила ни одного обращения от клиентов, на которых могла повлиять информация» об уязвимостях. Он также отметил, что последние объявленные уязвимости не могут быть использованы анонимными внешними посетителями — только внутренними пользователями с большими полномочиями.

Алексей Лукацкий, бизнес-консультант по информационной безопасности компании Positive Technologies, который первым обратил внимание на информацию от регулятора, напоминает, что ФСТЭК отвечает за техническую защиту конфиденциальной информации в стране и в прицел внимания ведомства попадают государственные органы и владельцы критической информационной инфраструктуры (сети связи и информационные системы государственных, энергетических, финансовых, транспортных, медицинских и ряда других компаний). Лукацкий пояснил, что сведения в упомянутую базу данных попадают из публичных или закрытых отчетов исследователей, от различных компаний и иных источников.

«Если регулятор опубликовал данные об уязвимостях, то в соответствии с документами ФСТЭК эти уязвимости должны быть устранены. Для критичных уязвимостей срок устранения — 24 часа. Для менее критичных — от семи до 30 дней. Публикация в базе данных нужна для отсчета этого времени, и если при проведении последующих проверок выяснится, что организация не устранила уязвимости, это может повлечь за собой проблемы. Для разработчиков — отзыв или приостановку сертификата, для пользователей — различные меры воздействия», — рассказал Лукацкий.

РБК направил запрос во ФСТЭК.

Есть ли риски

В «1С-Битрикс» не раскрывают точное число компаний — пользователей «Битрикс24». По словам гендиректора компании «Киберполигон» Луки Сафонова, «Битрикс24» — одна из самых популярных CRM-систем в Рунете. Руководитель направления по автоматизации бизнес-процессов «Крок» Дмитрий Перепонов говорит, что это решение активно используют компании и малого, и крупного бизнеса, а наибольший спрос на внешние сайты есть у компаний, занимающихся ретейлом и сферой услуг. В среднем и крупном бизнесе востребованы и внутренние порталы.

Эксперт компании «Код безопасности» Мария Фесенко назвала выявленные уязвимости «весьма критичными». «Для их эксплуатации применяются несложные атаки, которые могут иметь самые катастрофические последствия: от «безобидного» DDoS и последующего падения сайта до получения доступа к внутренним данным компании. В результате атаки злоумышленники могут получить доступ к серверу, на котором находится сайт, затем получить доступ к внутренним инфраструктурам с последующей кражей конфиденциальной корпоративной информации», — опасается Фесенко.

Перепонов назвал «хорошим знаком» то, что уязвимости «1С-Битрикс» были выявлены и опубликованы. «Это говорит об открытости производителя программного обеспечения и желании не замалчивать проблемы, а стараться их быстро решить», — пояснил он.

Но Лука Сафонов указывает, что часто организации покупают лицензию на один-два года, а потом не продлевают ее, из-за чего не знают об уязвимостях, не закрывают их, и поэтому могут происходить взломы или утечки данных. По его словам, информация об уязвимостях в «Битрикс24» «периодически ходит по хакерским чатам».

Дуров предупредил об уязвимости WhatsApp, дающей доступ ко всему телефону
Технологии и медиа
Фото:Luis Ferreira / Global Look Press

«1С-Битрикс» предоставляет обновления только тем пользователям, у кого есть действующая поддержка, обращает внимание Алексей Лукацкий. Он отметил, что чаще всего те клиенты продуктов информационной безопасности, которые не оплатили поддержку, могут не знать о случившемся, потому что об уязвимостях публично становится известно позже. «Что касается продления сервиса, каждый вендор поступает по-своему: некоторые разделяют истории, когда есть новый функционал, за который действительно надо заплатить, и когда есть критическая уязвимость, которая ставит под удар сотни или тысячи клиентов. Например, у Cisco, Microsoft и Apple есть критически важные обновления, они стремятся предоставлять их даже тем, кто не заплатил», — рассуждает Лукацкий. По его словам, в идеале сообщение о том, что клиент использует уязвимые модули, должно высвечиваться в админ-панели продукта.

Другое мнение у партнера Б1 Сергея Никитчука: «Клиент покупает лицензию на «Битрикс24» и отдельно оплачивает поддержку, обновления происходят автоматически или в ручном режиме. Если клиент отказывается от поддержки, он тогда несет ответственность за это решение».

Представитель «1С-Битрикс» настаивает, что они оперативно выпускают бесплатные обновления и информируют о них через email и другие каналы коммуникаций всех пользователей вне зависимости от активности лицензии. Пользователи с неактивной лицензией, по его словам, «всегда могут обратиться в техподдержку».

Авторы
Теги
Магазин исследований Аналитика по теме "IT"
Прямой эфир
Ошибка воспроизведения видео. Пожалуйста, обновите ваш браузер.


 

Лента новостей
Курс евро на 27 декабря
EUR ЦБ: 103,3 (-0,64)
Инвестиции, 04:47
Курс доллара на 27 декабря
USD ЦБ: 99,23 (-0,38)
Инвестиции, 04:47
Почему второй сезон «Игры в кальмара» кажется необязательнымLife, 16:45
Роскомнадзор предложил критерии пропаганды чайлдфриТехнологии и медиа, 16:43
Как оптимизировать бизнес-процессы при резком росте заказовРБК и Альфа-Лизинг, 16:42
Мосбиржа задумалась о запуске фьючерсов на ETF-фонды полупроводников и ИИИнвестиции, 16:42
ФСИН назвала причину смерти в «Матросской Тишине» фигуранта дела о пыткахОбщество, 16:40
Команда Hamster Kombat сделала ряд анонсов. Что происходит с токеном игрыКрипто, 16:40
Оперштаб назвал фейком заявления мэра Анапы о пользе мазутаОбщество, 16:35
Как пить красиво и осознанно
Новый интенсив РБК Pro об алкоголе
Подробнее
FlyDubai временно отменила рейсы из двух городов РоссииБизнес, 16:30
Губернатор ЯНАО: «Туристический кластер увеличит поток в четыре раза»Отрасли, 16:29
Певцу Шарлоту дали 5,5 года по делу об оскорблении верующихОбщество, 16:26
СКА обменял одного из своих лучших снайперов в нынешнем сезоне КХЛСпорт, 16:20
Гендиректор «Росхимзащиты» получил условный срок по делу о мошенничествеОбщество, 16:19
Помощь тем, кто помогает: как работает новый проект для НКОТренды, 16:18
К свету: как сделать так, чтобы всем хватало электричестваРБК и Россети, 16:14