Об обеспечении информационной безопасности. Уязвимость CMS Битрикс
Уважаемые Клиенты!
В ходе мониторинга защищенности национального сегмента сети Интернет продолжают фиксироваться факты компрометации официальных сайтов государственных органов и организаций, функционирующих с использованием программного обеспечения разработки компании «Битрикс».
В связи с участившимися случаями эксплуатации уязвимостей, связанных с системой управления контентом Битрикс, в том числе CVE-2022-27228, (подробная информация об устранении уязвимости CVE-2022-27228 указана на сайте разработчика по адресу https://helpdesk.bitrix24.com/open/15536776/, (начиная с версии 21.0.1 уязвимость устранена) и в целях минимизации таких рисков Общество информирует Вас о необходимости обязательной актуализации программного обеспечения, используемого в работе информационного ресурса до последней версии на постоянной основе, а также отключения всех опубликованных и неиспользуемых компонентов системы управления содержимым ресурса (сайта), которые могут быть использованы для нарушения конфиденциальности, целостности и доступности ресурса.
Кроме того, в соответствии с требованиями Положения о порядке определения уполномоченных поставщиков интернет-услуг, утвержденного приказом Оперативно-аналитического центра при Президента Республики Беларусь от 2 августа 2010 г. № 60 «Об утверждении Положения о порядке определения уполномоченных поставщиков интернет-услуг», об обеспечении защиты от атак на веб-приложения с использованием технологии инспекции SSL/TLS соединений, а также по обеспечению функционирования системы аудита и протоколирования событий безопасности официальных сайтов государственных органов и организаций ООО «Белорусские облачные технологии» настоятельно рекомендует при использовании SSL-сертификата на сайте, хостинг которого осуществляет ООО «Белорусские облачные технологии»:
- передать ООО «Белорусские облачные технологии» в рамках уточнения заказа на услугу цепочку сертификатов (корневого и подчиненного удостоверяющих центров), а также открытую и закрытую часть ключа на e-mail ssl@becloud.by для их последующей установки на средства защиты информации Общества;
- обеспечить своевременную актуализацию указанной информации с учетом срока действия предоставленных обществу SSL-сертификатов.
В связи с неоднократным информированием владельцев интернет-сайтов по различным каналам, с учетом отсутствия принятия должных мер реагирования по устранению уязвимостей используемого программного обеспечения, информируем о необходимости незамедлительного принятия указанных мер реагирования.
Дополнительные рекомендации по защите веб-сайтов:
- перевести работу сайта на актуальную версию //PHP (не ниже 7.4);
- включить при наличии модуль «Проактивная защита» и выполнить настройки по рекомендациям;
- проверить сайт инструментом CMS Bitrix «Сканер безопасности» на наличие уязвимостей;
- проверить веб-сайт на наличие вредоносного кода. При обнаружении такого кода провести мероприятия по его удалению с ресурса, а также проверить систему на компрометацию;
- проверить наличие фактов нелегитимной модификации файлов.
ООО «Белорусские облачные технологии» обращает внимание, что в соответствии с пунктом 17.8 Правил оказания услуги республиканской платформы «Виртуальный защищенный хостинг» и в соответствии с пунктом 4.4.15 Правил оказания услуги республиканской платформы «Защищенный хостинг на виртуальном сервере» клиенты Общества должны выполнять обновление программного обеспечения, программных средств защиты информации, используемых в интернет-сайте клиента. Неисполнение клиентами договорных обязательств может являться основанием для отказа от исполнения договора со стороны ООО «Белорусские облачные технологии».