Небольшой набор правил для SIEM Wazuh, направленных для мониторинг попыток эксплуатации уязвимостей Битрикса, описанных в данном райтапе: https://github.com/cr1f/writeups/blob/main/attacking_bitrix.pdf
1. html_editor_action.php
Exploit:
Лог:
Apr 11 11:11:11 bitrix nginx: 99.99.99.33 - - [11/Apr/2024:11:11:11 +0400 - 0.067] 200 "POST /bitrix/tools/html_editor_action.php HTTP/2.0" 6436 "https://bitrix.bitrix/bitrix/components/bitrix/map.yandex.search/settings/settings.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/122.0.6261.112 Safari/537.36" "-"
Результат:
2. vote/uf.php:
Exploit:
Лог:
Apr 1 11:11:11 bitrix nginx: 77.77.206.77 - - [01/Apr/2024:11:11:11 +0400 - 0.070] 404 "POST /bitrix/tools/vote/uf.php?attachId[ENTITY_TYPE]=CFileUploader&attachId[ENTITY_ID][events][onFileIsStarted][]=CAllAgent&attachId[ENTITY_ID][events][onFileIsStarted][]=Update&attachId[MODULE_ID]=vote&action=vote HTTP/1.1" 6866 "https://bitrix.bitrix.ru/bitrix/tools/composite_data.php" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2702.93 Safari/537.36" "-"
Результат:
