Перейти к основному контенту
Технологии и медиа ,  
28 673 

Регулятор сообщил об уязвимостях в популярном IT-сервисе «Битрикс24»

Что нужно сделать пользователям, чтобы снизить риски
ФСТЭК заявила о найденных уязвимостях в IT-сервисе для бизнеса «Битрикс24»
ФСТЭК сообщила об уязвимостях в «Битрикс24» — одном из популярных IT-сервисов для бизнеса в Рунете. Разработчик настаивает, что устранил проблемы еще в марте. Эксперты напоминают о необходимости провести обновление софта
Фото: Владислав Шатило / РБК
Фото: Владислав Шатило / РБК

В Банке данных угроз безопасности информации Федеральной службы по техническому и экспортному контролю (ФСТЭК) появилась информация об обнаружении восьми уязвимостей в сервисе для управления бизнесом «Битрикс24». Этот банк создан регулятором для «повышения информированности заинтересованных лиц о существующих угрозах безопасности информации» и предназначен для заказчиков, операторов, разработчиков информационных систем и их систем защиты и других заинтересованных организаций и лиц.

«Битрикс24» — сервис компании «1С-Битрикс», которая разрабатывает системы управления веб-проектами и корпоративными порталами. Он включает в себя корпоративный портал с чатом, диском, календарем, группами и другими инструментами, систему управления продажами и коммуникациями с клиентами (CRM), контакт-центр и др. По данным IT-маркетплейса Market.CNews, «Битрикс24» — лидер рейтинга CRM-систем для среднего и малого бизнеса в 2023 году.

Как сообщил РБК представитель «1С-Битрикс», все перечисленные ФСТЭК уязвимости были закрыты еще в марте этого года, а компания, оказывающая услуги кибербезопасности (изначально уязвимости обнаружила сингапурская компания STAR Labs), опубликовала отчет о них в начале ноября, поскольку разглашение уязвимостей «белыми хакерами» происходит всегда позже обнаружения, чтобы вендор успел их исправить, а пользователи — установить обновления, устраняющие брешь.

В IPhone нашли позволявшую устанавливать шпионскую программу уязвимость
Технологии и медиа
Фото:David Ramos / Getty Images

Представитель «1С-Битрикс» указал, что все облачные версии «Битрикс24» «давно обновлены и защищены от этих уязвимостей». Установленные на оборудовании заказчиков коробочные версии необходимо обновить, и в компании настаивают, что их техподдержка «не получила ни одного обращения от клиентов, на которых могла повлиять информация» об уязвимостях. Он также отметил, что последние объявленные уязвимости не могут быть использованы анонимными внешними посетителями — только внутренними пользователями с большими полномочиями.

Алексей Лукацкий, бизнес-консультант по информационной безопасности компании Positive Technologies, который первым обратил внимание на информацию от регулятора, напоминает, что ФСТЭК отвечает за техническую защиту конфиденциальной информации в стране и в прицел внимания ведомства попадают государственные органы и владельцы критической информационной инфраструктуры (сети связи и информационные системы государственных, энергетических, финансовых, транспортных, медицинских и ряда других компаний). Лукацкий пояснил, что сведения в упомянутую базу данных попадают из публичных или закрытых отчетов исследователей, от различных компаний и иных источников.

«Если регулятор опубликовал данные об уязвимостях, то в соответствии с документами ФСТЭК эти уязвимости должны быть устранены. Для критичных уязвимостей срок устранения — 24 часа. Для менее критичных — от семи до 30 дней. Публикация в базе данных нужна для отсчета этого времени, и если при проведении последующих проверок выяснится, что организация не устранила уязвимости, это может повлечь за собой проблемы. Для разработчиков — отзыв или приостановку сертификата, для пользователей — различные меры воздействия», — рассказал Лукацкий.

РБК направил запрос во ФСТЭК.

Есть ли риски

В «1С-Битрикс» не раскрывают точное число компаний — пользователей «Битрикс24». По словам гендиректора компании «Киберполигон» Луки Сафонова, «Битрикс24» — одна из самых популярных CRM-систем в Рунете. Руководитель направления по автоматизации бизнес-процессов «Крок» Дмитрий Перепонов говорит, что это решение активно используют компании и малого, и крупного бизнеса, а наибольший спрос на внешние сайты есть у компаний, занимающихся ретейлом и сферой услуг. В среднем и крупном бизнесе востребованы и внутренние порталы.

Эксперт компании «Код безопасности» Мария Фесенко назвала выявленные уязвимости «весьма критичными». «Для их эксплуатации применяются несложные атаки, которые могут иметь самые катастрофические последствия: от «безобидного» DDoS и последующего падения сайта до получения доступа к внутренним данным компании. В результате атаки злоумышленники могут получить доступ к серверу, на котором находится сайт, затем получить доступ к внутренним инфраструктурам с последующей кражей конфиденциальной корпоративной информации», — опасается Фесенко.

Перепонов назвал «хорошим знаком» то, что уязвимости «1С-Битрикс» были выявлены и опубликованы. «Это говорит об открытости производителя программного обеспечения и желании не замалчивать проблемы, а стараться их быстро решить», — пояснил он.

Но Лука Сафонов указывает, что часто организации покупают лицензию на один-два года, а потом не продлевают ее, из-за чего не знают об уязвимостях, не закрывают их, и поэтому могут происходить взломы или утечки данных. По его словам, информация об уязвимостях в «Битрикс24» «периодически ходит по хакерским чатам».

Дуров предупредил об уязвимости WhatsApp, дающей доступ ко всему телефону
Технологии и медиа
Фото:Luis Ferreira / Global Look Press

«1С-Битрикс» предоставляет обновления только тем пользователям, у кого есть действующая поддержка, обращает внимание Алексей Лукацкий. Он отметил, что чаще всего те клиенты продуктов информационной безопасности, которые не оплатили поддержку, могут не знать о случившемся, потому что об уязвимостях публично становится известно позже. «Что касается продления сервиса, каждый вендор поступает по-своему: некоторые разделяют истории, когда есть новый функционал, за который действительно надо заплатить, и когда есть критическая уязвимость, которая ставит под удар сотни или тысячи клиентов. Например, у Cisco, Microsoft и Apple есть критически важные обновления, они стремятся предоставлять их даже тем, кто не заплатил», — рассуждает Лукацкий. По его словам, в идеале сообщение о том, что клиент использует уязвимые модули, должно высвечиваться в админ-панели продукта.

Другое мнение у партнера Б1 Сергея Никитчука: «Клиент покупает лицензию на «Битрикс24» и отдельно оплачивает поддержку, обновления происходят автоматически или в ручном режиме. Если клиент отказывается от поддержки, он тогда несет ответственность за это решение».

Представитель «1С-Битрикс» настаивает, что они оперативно выпускают бесплатные обновления и информируют о них через email и другие каналы коммуникаций всех пользователей вне зависимости от активности лицензии. Пользователи с неактивной лицензией, по его словам, «всегда могут обратиться в техподдержку».

Авторы
Теги
Магазин исследований Аналитика по теме "IT"
Лента новостей
Лавров поблагодарил Ким Чен Ына за помощь в освобождении Курской области Политика, 09:21
Роскадастр назвал 67 российских городов с повторяющимися названиями Общество, 09:16
4 отрасли, где применяются большие языковые модели РБК и GigaChat, 09:00
ОФЗ, золото или акции: куда вложить дивиденды и что важно знать инвестору Инвестиции, 09:00
Какие книги о гастрономии и вине взять с собой в отпуск Вино, 09:00
Трамп рассказал об ошибках правоохранителей в день покушения на него Политика, 08:53
ТАСС узнал о новых фигурантах-подростках в деле о покушении на Собчак Политика, 08:49
Подарок с пользой — Подписка на РБК
Приобретайте сертификат на период от 1 месяца до года
За сертификатом
На Украине объявили в розыск Хинштейна и Кириенко Политика, 08:15
Перед Крымским мостом скопилось более 1,2 тыс. машин Общество, 08:08
Как заправляться на 5 тысячах АЗС по одной карте РБК и Teboil, 08:05
Лавров прибыл с визитом в Китай Политика, 08:01
Что будет с вкладами в июле: мнение экспертов и ставки в топ-10 банковПодписка на РБК, 08:00
Посол России обвинил НАТО в усугублении обстановки в Балтийском регионе Политика, 07:42
Daily Mail сообщила о встрече помощников Карла III и принца Гарри Политика, 07:23