Регулятор сообщил об уязвимостях в популярном IT-сервисе «Битрикс24»
Что нужно сделать пользователям, чтобы снизить рискиВ Банке данных угроз безопасности информации Федеральной службы по техническому и экспортному контролю (ФСТЭК) появилась информация об обнаружении восьми уязвимостей в сервисе для управления бизнесом «Битрикс24». Этот банк создан регулятором для «повышения информированности заинтересованных лиц о существующих угрозах безопасности информации» и предназначен для заказчиков, операторов, разработчиков информационных систем и их систем защиты и других заинтересованных организаций и лиц.
«Битрикс24» — сервис компании «1С-Битрикс», которая разрабатывает системы управления веб-проектами и корпоративными порталами. Он включает в себя корпоративный портал с чатом, диском, календарем, группами и другими инструментами, систему управления продажами и коммуникациями с клиентами (CRM), контакт-центр и др. По данным IT-маркетплейса Market.CNews, «Битрикс24» — лидер рейтинга CRM-систем для среднего и малого бизнеса в 2023 году.
Как сообщил РБК представитель «1С-Битрикс», все перечисленные ФСТЭК уязвимости были закрыты еще в марте этого года, а компания, оказывающая услуги кибербезопасности (изначально уязвимости обнаружила сингапурская компания STAR Labs), опубликовала отчет о них в начале ноября, поскольку разглашение уязвимостей «белыми хакерами» происходит всегда позже обнаружения, чтобы вендор успел их исправить, а пользователи — установить обновления, устраняющие брешь.
Представитель «1С-Битрикс» указал, что все облачные версии «Битрикс24» «давно обновлены и защищены от этих уязвимостей». Установленные на оборудовании заказчиков коробочные версии необходимо обновить, и в компании настаивают, что их техподдержка «не получила ни одного обращения от клиентов, на которых могла повлиять информация» об уязвимостях. Он также отметил, что последние объявленные уязвимости не могут быть использованы анонимными внешними посетителями — только внутренними пользователями с большими полномочиями.
Алексей Лукацкий, бизнес-консультант по информационной безопасности компании Positive Technologies, который первым обратил внимание на информацию от регулятора, напоминает, что ФСТЭК отвечает за техническую защиту конфиденциальной информации в стране и в прицел внимания ведомства попадают государственные органы и владельцы критической информационной инфраструктуры (сети связи и информационные системы государственных, энергетических, финансовых, транспортных, медицинских и ряда других компаний). Лукацкий пояснил, что сведения в упомянутую базу данных попадают из публичных или закрытых отчетов исследователей, от различных компаний и иных источников.
«Если регулятор опубликовал данные об уязвимостях, то в соответствии с документами ФСТЭК эти уязвимости должны быть устранены. Для критичных уязвимостей срок устранения — 24 часа. Для менее критичных — от семи до 30 дней. Публикация в базе данных нужна для отсчета этого времени, и если при проведении последующих проверок выяснится, что организация не устранила уязвимости, это может повлечь за собой проблемы. Для разработчиков — отзыв или приостановку сертификата, для пользователей — различные меры воздействия», — рассказал Лукацкий.
РБК направил запрос во ФСТЭК.
Есть ли риски
В «1С-Битрикс» не раскрывают точное число компаний — пользователей «Битрикс24». По словам гендиректора компании «Киберполигон» Луки Сафонова, «Битрикс24» — одна из самых популярных CRM-систем в Рунете. Руководитель направления по автоматизации бизнес-процессов «Крок» Дмитрий Перепонов говорит, что это решение активно используют компании и малого, и крупного бизнеса, а наибольший спрос на внешние сайты есть у компаний, занимающихся ретейлом и сферой услуг. В среднем и крупном бизнесе востребованы и внутренние порталы.
Эксперт компании «Код безопасности» Мария Фесенко назвала выявленные уязвимости «весьма критичными». «Для их эксплуатации применяются несложные атаки, которые могут иметь самые катастрофические последствия: от «безобидного» DDoS и последующего падения сайта до получения доступа к внутренним данным компании. В результате атаки злоумышленники могут получить доступ к серверу, на котором находится сайт, затем получить доступ к внутренним инфраструктурам с последующей кражей конфиденциальной корпоративной информации», — опасается Фесенко.
Перепонов назвал «хорошим знаком» то, что уязвимости «1С-Битрикс» были выявлены и опубликованы. «Это говорит об открытости производителя программного обеспечения и желании не замалчивать проблемы, а стараться их быстро решить», — пояснил он.
Но Лука Сафонов указывает, что часто организации покупают лицензию на один-два года, а потом не продлевают ее, из-за чего не знают об уязвимостях, не закрывают их, и поэтому могут происходить взломы или утечки данных. По его словам, информация об уязвимостях в «Битрикс24» «периодически ходит по хакерским чатам».
«1С-Битрикс» предоставляет обновления только тем пользователям, у кого есть действующая поддержка, обращает внимание Алексей Лукацкий. Он отметил, что чаще всего те клиенты продуктов информационной безопасности, которые не оплатили поддержку, могут не знать о случившемся, потому что об уязвимостях публично становится известно позже. «Что касается продления сервиса, каждый вендор поступает по-своему: некоторые разделяют истории, когда есть новый функционал, за который действительно надо заплатить, и когда есть критическая уязвимость, которая ставит под удар сотни или тысячи клиентов. Например, у Cisco, Microsoft и Apple есть критически важные обновления, они стремятся предоставлять их даже тем, кто не заплатил», — рассуждает Лукацкий. По его словам, в идеале сообщение о том, что клиент использует уязвимые модули, должно высвечиваться в админ-панели продукта.
Другое мнение у партнера Б1 Сергея Никитчука: «Клиент покупает лицензию на «Битрикс24» и отдельно оплачивает поддержку, обновления происходят автоматически или в ручном режиме. Если клиент отказывается от поддержки, он тогда несет ответственность за это решение».
Представитель «1С-Битрикс» настаивает, что они оперативно выпускают бесплатные обновления и информируют о них через email и другие каналы коммуникаций всех пользователей вне зависимости от активности лицензии. Пользователи с неактивной лицензией, по его словам, «всегда могут обратиться в техподдержку».