Банкам напомнили про обновления
ЦБ нашел новые проблемы в киберзащите отрасли
ЦБ отметил всплеск использования уязвимости в системе управления сайтами CMS Bitrix, популярной у средних и небольших банков, а также их подрядчиков. По словам экспертов, рост может быть связан с тем, что кредитные организации затянули с установкой обновлений, выпущенных, в том числе, еще год назад. Для банков наличие подобных уязвимостей означает риски проникновения во внутреннюю систему, чреватые в том числе несанкционированными операциями и утечками данных.
Фото: Александр Миридонов, Коммерсантъ
ЦБ запросил у банков информацию о версии CMS Bitrix, используемой самими кредитными организациями или их подрядчиками, следует из письма регулятора от 15 ноября (с ним ознакомился “Ъ”). Судя по информационному бюллетеню, приложенному к письму, с октября по ноябрь регулятор отметил резкий всплеск инцидентов с защитой информации, связанных с эксплуатацией уязвимости CVE-2022–27228. Также регулятор запросил у банков сведения о мерах, «направленных на недопущение возможности эксплуатации заявленных уязвимостей», рекомендовал добавить скрипты и отключить неиспользуемые модули.
CMS Bitrix — система управления сайтом, имеющая готовые шаблоны и модули для создания интернет-ресурса и подключения к нему необходимого функционала. Уязвимость CVE-2022–27228 подразумевает недостаточную проверку ввода, что позволяет удаленному пользователю без прохождения процедуры аутентификации фактически управлять сайтом.
По оценке управляющего RTM Group Евгения Царева, систему используют около 20% банков. По мнению ведущего консультанта по ИБ Aktiv.Consulting Александра Моисеева, проблемы потенциально могли возникнуть у средних и небольших кредитных организаций. Он уточнил, что CMS Bitrix популярна и среди компаний среднего и малого бизнеса, которые могут выступать подрядчиками банков.
В начале месяца (см. “Ъ” от 9 ноября) БЖФ-банк, ВБРР и Фора-банк заявили, что их сайты подверглись атаке хакеров. Немногим раньше (см. “Ъ” от 30 октября) хакеры взломали сайт Национальной системы платежных карт (НСПК). По словам экспертов, эти атаки могут быть связаны с использованием уязвимости CVE-2022–27228 в Bitrix. БЖФ-банк, ВБРР, Фора-банк и НСПК оперативно не ответили на запрос “Ъ”.
Эльвира Набиуллина, глава ЦБ РФ, 9 июня 2023 года:
«К сожалению, активность кибермошенников остается высокой. Мы действительно применяем меры, и банки применяют меры».
В ЦБ уточнили, что упомянутые инциденты имели отношение к уязвимостям в сервисе, который использовали поставщики услуг по созданию и управлению сайтами банков. Там подчеркнули, что «банки, получая от регулятора информацию о рисках, должны учитывать ее в своих бизнес-процессах и оперативно доводить до своих поставщиков».
Кредитные организации в целом «достаточно оперативно, по мере тестирования новых версий, а также выполнения ряда регламентированных процедур проводят установку новых версий, закрывающих уязвимость, или настройку необходимых параметров для невозможности ее использования», утверждает вице-президент Ассоциации банков России Алексей Войлуков.
Между тем НКЦКИ (обеспечивает координацию деятельности субъектов КИИ по вопросам атак и реагирования на инциденты) и ФинЦЕРТ сообщали о выявленной уязвимости еще в марте 2022 года, следует из информационного бюллетеня ЦБ.
По словам господина Войлукова, спустя несколько месяцев НКЦКИ рекомендовал объектам КИИ обновить CMS Bitrix до актуальных версий. Объявленная уязвимость была закрыта разработчиком еще к августу 2022 года, поясняет он.
Специалисты по ИБ считают, что текущие инциденты могут быть связаны как раз с задержкой установки обновлений. После выхода официального обновления может быть два подхода — обновление происходит автоматически, условно сразу после появления, или вручную, поясняет господин Царев. По его словам, автоматическое обновление предусмотрено не всегда, в том числе из соображений безопасности, так как в случае возможных ошибок, допущенных разработчиками, оперативное обновление может остановить работу сайта.
Между тем, по мнению экспертов, использование хакерами этой уязвимости может привести к серьезным последствиям. Если уязвимые внешние веб-ресурсы банка размещены на собственных серверах, есть вероятность проникновения в основные информационные системы, дистанционное банковское обслуживание, интерфейс «банк—клиент», поясняет господин Моисеев. Нарушение их работы угрожает несанкционированными финансовыми операциями, утечкой данных клиентов, проблемами с оказанием услуг, репутационными потерями и штрафами от регуляторов. Впрочем, в ходе атак в октябре—ноябре, уверяют в ЦБ, инфраструктура банков и ключевые процессы не пострадали.