Как мы взломали Bitrix24, чтобы спасти бизнес: кейс по защите после кибератаки

Прошли полный путь атакующего: обход защиты в Bitrix24, компрометация учёток, доступ к критичным данным. Итог — закрытые уязвимости и понятный план модернизации безопасности.

Как мы взломали Bitrix24, чтобы спасти бизнес: кейс по защите после кибератаки
Опубликовано: 3 октября 2025
Содержание

О кейсе

Клиент

Производственная компания, офисы + ЦОД + производство + склады.

Контекст

Недавний киберинцидент остановил производство на несколько суток, сорвал поставки, повредил и частично уничтожил критичные данные.

Задача

Провести комплексную оценку безопасности на периметре и внутри сети, проверить устойчивость персонала к социальной инженерии, разработать техническое ТЗ и поэтапный план защиты.

Услуга

Комплексный пентест: периметр (black-box), внутренняя сеть (gray-box), фишинг.

Ключевые находки:

  • обход white-листов к админ-зоне Bitrix24 через служебные эндпоинты
  • SMTP User Enumeration: выявлено 442 валидных адреса
  • отсутствие защиты от bruteforce в Bitrix24
  • LDAP Enumeration с утечкой атрибутов AD
  • УЗ с административными правами на машине, подверженной атаке AS-REP roasting
  • с помощью sql-инъекции, обнаруженной в интернет-магазине, получили доступ к клиентской базе данных
  • фишинг: 442 писем → 75 открытий → 62 перехода → 43 вводов → 39 компрометаций.

Результат: закрыт внешний вход в админ-панель, собран план срочных мер по закрытию критичных уязвимостей, разработана дорожная карта модернизации с бюджетной оценкой.a

Задача

Заказчик обратился за помощью: после устранения последствий инцидента компания взялась за усиление ИБ. Мы подключились: Александр Марунин вел переговоры с руководством компании, специалисты Инфратеха предварительно оценили текущее состояние безопасности.

Инфраструктура заказчика:

  • Центр обработки данных
  • Офис в 3 городах РФ
  • Производственный сегмент
  • 3 складских сегмента

После анализа мы увидели полную беззащитность. Нужна была не модернизация, а построение защиты практически с нуля. К тому же клиент хотел понять, зачем инвестировать именно в эти решения, какой бизнес-результат он получит.

Предложили провести комплексное тестирование на проникновение (Pentest). Задача решала сразу несколько вопросов:

  1. Подтвердить уязвимости.
  2. Продемонстрировать все возможные векторы атак.
  3. Обосновать необходимость инвестиций в предложенные решения.
  4. Скорректировать план защиты на основе реальных данных с бюджетной оценкой.

За проведение пентеста и эксплуатацию найденных векторов отвечал инженер Адам Турлуев.

Сроки

Для глубокого анализа и подготовки обоснованных рекомендаций потребовалось 40 дней:

  1. Внешний периметр — 10 рабочих дней. Начал с разведки и анализа внешних ресурсов. Изучил VPN, почтовые и веб-сервисы, провел сканирование и анализ уязвимостей.Понял, откуда может начаться атака, определил слабые места в системе.
  2. Внутренняя сеть — 18 рабочих дней. Этап подтвердил, что компрометация может развиваться стремительно даже без громких уязвимостей.
  3. Социальная инженерия — 8 рабочих дней. Проверил, насколько уязвим человеческий фактор.
  4. Полный отчет с детализацией уязвимостей и дорожная карта формирования защитного периметра  — 4 дня.

Этапы реализации: с чем пришлось столкнуться

Разделили проект на три потока, чтобы одновременно закрыть внешние входы, протестировать эскалацию внутри и проверить устойчивость персонала.

Инструменты
GoPhish, Evilginx2, собственный SMTP-сервер, Nmap, masscan, nuclei, Burp Suite, SqlMap, Wappalyzer, Impacket, Blood Hound, Power Sploit.

Социальная инженерия

Стартовая точка: согласованная выборка сотрудников. Провел имитацию фишинговой атаки через корпоративную почту. Цель: проверить, как персонал реагирует на фишинговые письма, выявить уязвимости почтовой защиты, оценить обработку подозрительных ссылок и вложений, определить группы риска.

Социальная инженерия

Этапы: подготовил инфраструктуру → разработал сценарий рассылки под бизнес-контекст «повторная авторизация в Bitrix» → запустил кампанию, зафиксировал действия сотрудников → проанализировал результаты.

Техническая инфраструктура:

  • инструменты: GoPhish, Evilginx2, собственный SMTP-сервер
  • фишинговый домен: зарегистрирован и настроен для имитации корпоративного ресурса
  • тип писем: HTML-сообщение со ссылкой на поддельную страницу авторизации Bitrix
  • web-страница: обратное проксирование к настоящему сервису для правдоподобности
  • защита почтового контура: настроены DKIM (OpenDKIM), SPF, DMARC, SSL (Let’s Encrypt)

Результаты:

Сообщение открыли около 20% персонала, большинство из открывших поверили письму и перешли по ссылке. Часть из них ввела свои учётные данные на фишинговом ресурсе. Группы повышенного риска: бухгалтерия, кадры, охрана труда. Инцидент подтвердил, что потенциальный злоумышленник смог бы успешно внедриться и получить доступ ко всем данным компании.

  • Отправлено: 442 письма (100% доставлено).
  • Открыли: 75 сотрудников (17%).
  • Перешли по ссылке: 62 (82% от открывших).
  • Ввели учётные данные: 43 (69% от перешедших).
  • Скомпрометировано: 39 учётных записей (9% от общей выборки)

Потенциальные угрозы:

  • несанкционированный доступ к критичным сервисам и данным
  • масштабное заражение или остановка процессов через внутреннюю сеть
  • угроза срыва контрактов, прямые убытки
  • претензии регуляторов

Что предложили:

  • Технические меры: внедрить NGFW с антифишинг-модулем для блокировки вредоносного контента на уровне почтового шлюза.
  • Организационные меры: регулярные тренинги для сотрудников, симуляции фишинговых атак, пересмотр и контроль политики ИБ.

Внешний контур

Стартовая точка — периметр сети. Проверил корпоративный SMTP, веб-контур (Bitrix24 и интернет магазин), VPN. Цель — выявить и устранить точки проникновения.

Формат: black-box (работа без информации об инфраструктуре)

Этапы: разведка → анализ → эксплуатация.

С помощью перечисления собрал 442 корпоративных почтовых адреса и по этой базе провел фишинговую кампанию. В результате получил рабочие учётки сотрудников. Часть из них оказалась действующей для VPN и домена. Многие до сих пор используют один пароль для разных сервисов, а это — прямой доступ во внутреннюю сеть.

Критичные находки:

  1. SMTP User Enumeration. Сервер выдавал валидность адресов, собрали полную базу активных учетных записей — готовый список для таргет-фишинга и атак перебором паролей по множеству логинов (password spraying).
  2. Обход white-листов в Bitrix24. Доступ к форме авторизации админ-панели через служебные эндпоинты (включая prolog_admin_before.php). Его используют для подбора паролей и дальнейшей эскалации.
  3. Нет сдерживания bruteforce для Bitrix24. Не было капчи/замедления/блокировок, и это открывало путь к перебору. Отправил более 1 000 000 запросов — используемые средства защиты на них не реагируют.

Что предложили: NGFW с профилем IDPS и L7-правилами по тегам URL, WAF перед Bitrix24 и интернет-магазином, закрытие служебных скриптов, унификация SMTP-ответов и отключение VRFY/EXPN, SIEM для отслеживания массовых неудачных входов с одного IP.

Внутренняя сеть

Стартовая точка: удаленное подключение без предварительного доступа. В результате фишинга получил доменную УЗ обычного сотрудника. Подключился к офисной сети, смоделировал действия злоумышленника, получившего доступ к рядовой УЗ. Цель — оценка путей перемещения атакующего.

Формат тестирования — black-box.

Этапы: разведка → анализ → эксплуатация → эскалация → отчёт.

Тестирование проводилось максимально безопасно: без DoS-атак и вмешательства в рабочие процессы без отдельного согласования.

Цепочка компрометации:

  • Полученные учётки дали точку входа внутрь сети.
  • Дальнейшая разведка через LDAP показала УЗ, к которой применили атаку AS-REP Roasting.
  • Получил учётку с административными правами на сервере с базой данных.
  • Извлек дамп LSASS доступ к базам данных.
  • Расшифровал учётку администратора домена, получил контроль над доменом и полный доступ к инфраструктуре.

Критичные находки:.

  • LDAP Enumeration. Простая учётка могла запрашивать у контроллера детализированные данные о других пользователях: имена, контакты, группы доступа.
  • Ошибки в настройке AD. Сервисная учётка имела избыточные права на сервере БД. Это стало точкой для эскалации.
  • Подтвердил риски lateral movement (незаметного перемещения внутри сети) и доступ к ценным ресурсам (файловые хранилища, 1С, AD).
  • Открытые SMB-ресурсы с некорректно настроенными правами доступа, содержащие конфиденциальную корпоративную документацию.

Потенциальный ущерб:

  • утечка: документы, переписка, файлы с конфиденциальными данными
  • полная остановка производственных процессов через доступ к промышленным системам и логистике.

Уязвимости, которые могут возникнуть при расширении инфраструктуры и внедрении центра сертификации в инфраструктуре заказчика:

  • Уязвимости службы сертификатов AD CS (высокий уровень опасности).
  • Неограниченная делегация (Unconstrained Delegation) риск захвата билета TGT администратора (средний уровень опасности).
  • kerberoasting — получение хешей паролей сервисных учёток (высокий уровень опасности).
  • LLMNR/NBT-NS Poisoning — перехват NTLM-хешей и relay-атаки (высокий уровень опасности).
  • ACL Abuse — неправильные права в AD, позволяющие эскалацию (высокий уровень опасности).

Что предложили:

  • ограничить права стандартных учёток (ACL)
  • убрать лишние персональные атрибуты из LDAP-доступа
  • выключить LLMNR и NetBIOS, включить SMB Signing
  • регулярно проводить аудит ACL и следовать принципу минимальных прав

Результаты

Заказчик получил отчёт по трём направлениям пентеста — внешний периметр, внутренняя сеть и устойчивость сотрудников к фишингу с полными описаниями и рекомендациями по устранению:

  1. Полный перечень подтверждённых уязвимостей с указанием уровня критичности.
  2. Карта потенциальных угроз — слабые места Active Directory и сценарии их развития при масштабировании инфраструктуры.
  3. Исчерпывающий комплекс решений для закрытия выявленных уязвимостей и выстраивания целостной системы безопасности.

Заказчик убедился: ручные меры не обеспечивают защиты. Уязвимости появляются ежедневно, для бизнеса необходимы специализированные решения, которые работают системно и закрывают риски там, где ручных усилий уже недостаточно.

Отзывы

Адам Турлуев, инженер по пентесту:

  • О моменте взлома. Когда мы получили доступ к админке Bitrix24, стало очевидно, что защиты просто нет.
  • О важности работы. Мы не ломаем, чтобы навредить. Мы ломаем, чтобы показать клиенту слабое звено и дать ему инструменты для исправления.
  • О фишинге. Сотрудники — это самая уязвимая точка в сети. Наша фишинговая атака показала, что даже самые сложные системы бессильны, если человек не обучен основам кибербезопасности.

Александр Марунин, менеджер проекта:

  • После катастрофы люди ищут быстрые решения. Наша задача была — убедить клиента, что латание дыр бесполезно. Защита работает только, если она системная.

Руководитель ИБ компании-заказчика:

  • О первом впечатлении: После инцидента мы думали, что всё исправили. Но когда Адам показал, как легко он получил доступ к нашим базам данных, я понял, что мы недооценили ситуацию. И это был холодный душ.
  • О значении пентеста: Честно говоря, мы рассчитывали получить стандартный отчет с перечнем уязвимостей — что-то вроде техаудита. Но команда Инфратех буквально смоделировала реальную атаку: показали, как хакеры могли проникнуть к нам, какие данные украсть, как парализовать производство. Мы получили четкую стратегию защиты с приоритетами и адекватным бюджетом.