Перейти к основному контенту
Технологии и медиа ,  
0 

Регулятор сообщил об уязвимостях в популярном IT-сервисе «Битрикс24»

Что нужно сделать пользователям, чтобы снизить риски
ФСТЭК заявила о найденных уязвимостях в IT-сервисе для бизнеса «Битрикс24»
ФСТЭК сообщила об уязвимостях в «Битрикс24» — одном из популярных IT-сервисов для бизнеса в Рунете. Разработчик настаивает, что устранил проблемы еще в марте. Эксперты напоминают о необходимости провести обновление софта
Фото: Владислав Шатило / РБК
Фото: Владислав Шатило / РБК

В Банке данных угроз безопасности информации Федеральной службы по техническому и экспортному контролю (ФСТЭК) появилась информация об обнаружении восьми уязвимостей в сервисе для управления бизнесом «Битрикс24». Этот банк создан регулятором для «повышения информированности заинтересованных лиц о существующих угрозах безопасности информации» и предназначен для заказчиков, операторов, разработчиков информационных систем и их систем защиты и других заинтересованных организаций и лиц.

«Битрикс24» — сервис компании «1С-Битрикс», которая разрабатывает системы управления веб-проектами и корпоративными порталами. Он включает в себя корпоративный портал с чатом, диском, календарем, группами и другими инструментами, систему управления продажами и коммуникациями с клиентами (CRM), контакт-центр и др. По данным IT-маркетплейса Market.CNews, «Битрикс24» — лидер рейтинга CRM-систем для среднего и малого бизнеса в 2023 году.

Как сообщил РБК представитель «1С-Битрикс», все перечисленные ФСТЭК уязвимости были закрыты еще в марте этого года, а компания, оказывающая услуги кибербезопасности (изначально уязвимости обнаружила сингапурская компания STAR Labs), опубликовала отчет о них в начале ноября, поскольку разглашение уязвимостей «белыми хакерами» происходит всегда позже обнаружения, чтобы вендор успел их исправить, а пользователи — установить обновления, устраняющие брешь.

В IPhone нашли позволявшую устанавливать шпионскую программу уязвимость
Технологии и медиа
Фото:David Ramos / Getty Images

Представитель «1С-Битрикс» указал, что все облачные версии «Битрикс24» «давно обновлены и защищены от этих уязвимостей». Установленные на оборудовании заказчиков коробочные версии необходимо обновить, и в компании настаивают, что их техподдержка «не получила ни одного обращения от клиентов, на которых могла повлиять информация» об уязвимостях. Он также отметил, что последние объявленные уязвимости не могут быть использованы анонимными внешними посетителями — только внутренними пользователями с большими полномочиями.

Алексей Лукацкий, бизнес-консультант по информационной безопасности компании Positive Technologies, который первым обратил внимание на информацию от регулятора, напоминает, что ФСТЭК отвечает за техническую защиту конфиденциальной информации в стране и в прицел внимания ведомства попадают государственные органы и владельцы критической информационной инфраструктуры (сети связи и информационные системы государственных, энергетических, финансовых, транспортных, медицинских и ряда других компаний). Лукацкий пояснил, что сведения в упомянутую базу данных попадают из публичных или закрытых отчетов исследователей, от различных компаний и иных источников.

«Если регулятор опубликовал данные об уязвимостях, то в соответствии с документами ФСТЭК эти уязвимости должны быть устранены. Для критичных уязвимостей срок устранения — 24 часа. Для менее критичных — от семи до 30 дней. Публикация в базе данных нужна для отсчета этого времени, и если при проведении последующих проверок выяснится, что организация не устранила уязвимости, это может повлечь за собой проблемы. Для разработчиков — отзыв или приостановку сертификата, для пользователей — различные меры воздействия», — рассказал Лукацкий.

РБК направил запрос во ФСТЭК.

Есть ли риски

В «1С-Битрикс» не раскрывают точное число компаний — пользователей «Битрикс24». По словам гендиректора компании «Киберполигон» Луки Сафонова, «Битрикс24» — одна из самых популярных CRM-систем в Рунете. Руководитель направления по автоматизации бизнес-процессов «Крок» Дмитрий Перепонов говорит, что это решение активно используют компании и малого, и крупного бизнеса, а наибольший спрос на внешние сайты есть у компаний, занимающихся ретейлом и сферой услуг. В среднем и крупном бизнесе востребованы и внутренние порталы.

Эксперт компании «Код безопасности» Мария Фесенко назвала выявленные уязвимости «весьма критичными». «Для их эксплуатации применяются несложные атаки, которые могут иметь самые катастрофические последствия: от «безобидного» DDoS и последующего падения сайта до получения доступа к внутренним данным компании. В результате атаки злоумышленники могут получить доступ к серверу, на котором находится сайт, затем получить доступ к внутренним инфраструктурам с последующей кражей конфиденциальной корпоративной информации», — опасается Фесенко.

Перепонов назвал «хорошим знаком» то, что уязвимости «1С-Битрикс» были выявлены и опубликованы. «Это говорит об открытости производителя программного обеспечения и желании не замалчивать проблемы, а стараться их быстро решить», — пояснил он.

Но Лука Сафонов указывает, что часто организации покупают лицензию на один-два года, а потом не продлевают ее, из-за чего не знают об уязвимостях, не закрывают их, и поэтому могут происходить взломы или утечки данных. По его словам, информация об уязвимостях в «Битрикс24» «периодически ходит по хакерским чатам».

Дуров предупредил об уязвимости WhatsApp, дающей доступ ко всему телефону
Технологии и медиа
Фото:Luis Ferreira / Global Look Press

«1С-Битрикс» предоставляет обновления только тем пользователям, у кого есть действующая поддержка, обращает внимание Алексей Лукацкий. Он отметил, что чаще всего те клиенты продуктов информационной безопасности, которые не оплатили поддержку, могут не знать о случившемся, потому что об уязвимостях публично становится известно позже. «Что касается продления сервиса, каждый вендор поступает по-своему: некоторые разделяют истории, когда есть новый функционал, за который действительно надо заплатить, и когда есть критическая уязвимость, которая ставит под удар сотни или тысячи клиентов. Например, у Cisco, Microsoft и Apple есть критически важные обновления, они стремятся предоставлять их даже тем, кто не заплатил», — рассуждает Лукацкий. По его словам, в идеале сообщение о том, что клиент использует уязвимые модули, должно высвечиваться в админ-панели продукта.

Другое мнение у партнера Б1 Сергея Никитчука: «Клиент покупает лицензию на «Битрикс24» и отдельно оплачивает поддержку, обновления происходят автоматически или в ручном режиме. Если клиент отказывается от поддержки, он тогда несет ответственность за это решение».

Представитель «1С-Битрикс» настаивает, что они оперативно выпускают бесплатные обновления и информируют о них через email и другие каналы коммуникаций всех пользователей вне зависимости от активности лицензии. Пользователи с неактивной лицензией, по его словам, «всегда могут обратиться в техподдержку».

Авторы
Теги
Магазин исследований Аналитика по теме "IT"
Прямой эфир
Ошибка воспроизведения видео. Пожалуйста, обновите ваш браузер.
Лента новостей
Курс евро на 5 октября
EUR ЦБ: 104,74 (-0,12)
Инвестиции, 04 окт, 17:47
Курс доллара на 5 октября
USD ЦБ: 94,87 (-0,16)
Инвестиции, 04 окт, 17:47
Трамп заявил, что весь мир смеется над СШАПолитика, 07:26
Немецкие ученые выяснили, что алкоголь опасен даже для сердец молодыхОбщество, 07:01
FA рассказало, почему Израиль «увяз в трясине Газы»Политика, 06:49
Испанский госслужащий отсудил €150 тыс. за то, что работал за троихОбщество, 06:45
ТАСС узнал, что Лерчек дала признательные показания на первом допросеОбщество, 06:17
WP узнала, что Украине предложат «конкретные шаги» для членства в НАТОПолитика, 05:49
Си Цзиньпин и Ким Чен Ын обменялись поздравительными телеграммамиПолитика, 05:39
Онлайн-курс Digital MBA от РБК Pro
Объединили экспертизу профессоров MBA из Гарварда, MIT, INSEAD и опыт передовых ИТ-компаний
Оставить заявку
Снос «жемчужины Города грехов» превратят в пиротехническое шоуОбщество, 05:14
Более 15 человек погибли при ударе Израиля по мечети в центре ГазыПолитика, 05:03
В аэропорту Лас-Вегаса при посадке загорелся пассажирский самолетОбщество, 04:26
NYT узнала, что Трамп спрашивал у Путина об Украине: «Что вы думаете?»Политика, 04:23
WP узнала, что «Моссад» вынудил «Хезболлу» брать пейджеры двумя рукамиПолитика, 03:51
Маск выпрыгнул на сцену к Трампу на митинге в ПенсильванииПолитика, 03:37
Двухлетний ребенок и трое взрослых погибли при попытке пересечь Ла-МаншОбщество, 03:07