Solar 4RAYS рассказал об уязвимости повышения прав в устаревшей версии VMBitrix

В декабре 2024 года специалисты Solar 4RAYS (входит в группу компаний «Солар») при разборе тулкита проукраинской хакгруппы Shedding Zmiy нашли вредоносную утилиту Install.

Детальный разбор утилиты показал, что она сложнее, чем кажется. Install нужна для эскалации привилегий на Bitrix24-инфраструктуре с помощью уязвимости zero-day (на тот момент) в конфигурации «виртуальной машины» для быстрой установки CMS Bitrix. Уязвимость позволяла через misconfig получить root-права за счёт неверных настроек прав пользователя bitrix на Apache в virtual appliance.

Об этой проблеме специалисты оповестили вендора, и он оперативно выпустил патч. Сценарий атаки выглядел так: получив несанкционированный удалённый административный доступ, злоумышленник подкидывает Install, потом ставит вредоносный Apache-модуль. Как только администратор или автомат перезапускает службу httpd, изменения попадают в прод. Если рестарт в ожидаемом будущем не производился, злоумышленники ждали ротации логов Apache для заражения. Кроме уязвимости, у Bitrix24 был найден смежный баг у nginx: расширенные права bitrix позволяли редактировать файлы push-service. Всё из-за повышенных привилегий учётной записи bitrix.

Утилита Install берёт путь к обычному модулю Apache. Проверяет имя и версию. Копирует его содержимое. Создаёт поддельный модуль test_module. Если получилось — выдаёт сообщение о готовности. Этот модуль запускает простую функцию — она кладёт на сервер специальный файл. Файл получает права, при которых любой запуск идёт от суперпользователя. При работе файл меняет права процесса на максимальные, защищается от прерывания и принимает любую команду в аргументах. Например, открывает командную строку с полными правами.

В виртуалке Bitrix24 до версии 9.0.5 административная учётка bitrix стояла сразу после root в иерархии пользователей. Она владела директорией /var/www. Имела доступ к sudo, хотя не была прописана в sudoers. Могла редактировать файлы службы push-service. Править конфигурацию httpd и nginx. К обеим административным учёткам был SSH-доступ.

Проблема в предустановленных настройках — учётка bitrix получила слишком много прав для управления системой. Это нарушало принцип минимальных привилегий. Злоумышленник с доступом к bitrix мог менять настройки сервисов, получать права суперпользователя, через push-service внедрять код напрямую. В версии 9.0.5 убрана возможность доступа пользователя bitrix к конфигурации веб-сервера и файлам службы push-service. В новейшей версии 9.0.6 домашней директорией bitrix стала /home/bitrix.

Эксперты кибербеза рекомендуют срочно обновить всё ПО, вернуть права на веб-файлы системному пользователю вроде www-data, поднять веб-серверы от этого же пользователя, развести администраторский и обычный доступ, SSH разрешить только избранным. Дополнительно специалисты рекомендуют использовать SELinux, AppArmor, гранулированный доступ только к нужным сервисам, утилитам, мониторить системные вызовы — так можно обнаружить попытки установки битов повышения прав или запусков с расширенными правами.