17.06.2025 г. ФСТЭК России зафиксирована критическая уязвимость в платформе 1С:Предприятие 8 под номером BDU-2025-07182. Этот дефект позволяет злоумышленникам, действующим удаленно, получить несанкционированный доступ к системе от имени произвольного пользователя, что создает серьезные риски для компаний, использующих решения 1С в своих бизнес-процессах. Что делать малому и среднему бизнесу, как защититься от потерь из-за этой критической уязвимости? Расскажу максимально подробно.

Уязвимость подтверждена производителем (фирмой 1С). Подробности далее.
Уязвимость подтверждена производителем (фирмой 1С). Подробности далее.

Техническая характеристика уязвимости

Уязвимость относится к классу CWE-285 («Неправильная авторизация») и затрагивает ядро системы авторизации платформы 1С:Предприятие 8.

Механизм эксплуатации: злоумышленник может удаленно войти в систему под любой учетной записью без знания паролей.

Для специалистов по ИБ:

❗ Базовый вектор уязвимости:

CVSS 2.0: AV:N/AC:L/Au:S/C:C/I:C/A:C

CVSS 3.0: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

CVSS 4.0: AV:N/AC:L/AT:P/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

Уровень опасности уязвимости:

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)

Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 8,8)

Высокий уровень опасности (оценка CVSS 4.0 составляет 7,7).

Уязвимость «неправильная авторизация» в 1С:Предприятие BDU:2025-07182 имеет высокий уровень опасности, в некоторых случаях такая уязвимость может считаться критичной (требующей немедленного устранения)!

Критичность ситуации усугубляется тем, что для успешной атаки не требуется взаимодействие с пользователем, атака проводится по сети, для реализации уже существует эксплойт.

Спойлер: компания «1С» уже исправила уязвимость, выпустив новые версии платформы. Новые версии платформы, помимо нововведений, содержат исправление ошибок, включая реализацию мер по повышению информационной безопасности. «1С» самостоятельно исследует платформу и оперативно выпускает релизы с исправлениями. Для исправления ошибки прав доступа (которая названа как уязвимость BDU:2025-07182) вендор своевременно выпустил новые версии платформы еще до выявления и подтверждения уязвимости со стороны ФСТЭК РФ.

Грозит ли вам Уязвимость «неправильная авторизация» в 1С:Предприятие 8 (BDU:2025-07182)? Проверьте себя

Уязвимы версии платформы (именно платформы 1С:Предприятие 8 для любой конфигурации):

– 8.3.23

– 8.3.24 до 8.3.24.1624 

– 8.3.25 до 8.3.25.1374.

Как узнать версию платформы 1С:Предприятие 8

Запустив конфигурацию 1С, узнать версию платформы 1С:Предприятие 8 можно в меню программы:

  • Нажать кнопку Сервис и настройки в правом верхнем углу окна приложения:

 

  • Выбрать в выведенном меню пункт О программе

  • Версия платформы будет показана в верхней строке выведенного окна О программе:

 В открывшемся окне версия платформы будет указана в верхней строке.

Здесь вы увидите версию платформы и версию конфигурации
Здесь вы увидите версию платформы и версию конфигурации

Нумерация конфигураций и технологической платформы 1С:Предприятие 8 состоит из четырех чисел, например, версия платформы 8.3.15.1830 (уязвимая). Здесь первая цифра - номе�� версии, вторая - номер редакции, третья - номер релиза, четвертая - номер подрелиза.

Первые два числа – это версия. Вторые два числа – это релиз.

Теперь вы можете самостоятельно определить и корректно назвать параметры своего программного продукта 1С:

  • версия и релиз платформы, например 1С:Предприятие 8.3.15.1830,

  • версия и релиз конфигурации, например Бухгалтерия предприятия 3.0.76.67.

 А также вы можете проверить, грозит ли вам Уязвимость «неправильная авторизация» в 1С:Предприятие 8 (BDU:2025-07182). Проверьте себя: если ваша версия платформы

  • 8.3.23

  • 8.3.24 до 8.3.24.1624 

  • 8.3.25 до 8.3.25.1374,

значит, вы в зоне риска: необходимо срочное обновление и ряд мер, о которых расскажу далее.

На самом деле, они нужны всем, даже если сейчас эта конкретная уязвимость вам не грозит! К сожалению, не все компании, пользующиеся 1С, уделяют внимание обновлениям, обслуживанию, поддержке системы, а также вопросам информационной безопасности в своей повседневной работе.

Регулярные обновления и экспертная поддержка вашей 1С - это именно то, что служит преградой на пути злоумышленников. Чтобы они не могли воспользоваться следующими пятью самыми распространенными способами монетизации уязвимости.

Пять основных способов монетизации уязвимости

1. Ransomware-атаки (вредоносное вымогательское ПО, вирус-шифровальщик)

После получения административных прав злоумышленники экспортируют информационную базу, шифруют рабочую копию и требуют выкуп размером кратно или даже в несколько BTC за ключ дешифрования. По данным специалистов, средняя сумма выкупа для малого и среднего бизнеса может составлять от 5-10 миллионов рублей и выше.

Статистика показывает критичность проблемы: количество ransomware-атак выросло на 105% за последний год, при этом 60% небольших компаний, пострадавших от хакерских атак, закрываются в течение шести месяцев после инцидента. Основные причины — утечки данных, финансовые потери и репутационный ущерб.

2. Продажа конфиденциальных данных

Полный доступ к информационной базе позволяет выкачивать нормативно-справочную информацию, прайс-листы, базы клиентов, данные о зарплатах, кадровые/персональные данные сотрудников, производственную документацию и т.п. Украденная информация продается конкурентам или в даркнете, а также может и��пользоваться с целью шантажа руководителей компании.

Особую ценность представляют:

  • Клиентские базы с контактными данными и историей покупок

  • Коммерческие данные — прайс-листы, условия поставщиков, размеры скидок, данные по клиентам включая контакты ключевых лиц, данные по поставщикам включая сведение о закупках

  • Кадровая информация, персональные данные — данные о зарплатах, премиях, личные данные сотрудников, ФИО и данные банковских карт

  • Сведения о производственных процессах — сведения о регламентах производства, видах и средствах АСУ ТП, закупленного оборудования, ноу-хау производства, иные конфиденциальные сведения о производстве

3. Фишинг от лица компании

Злоумышленники используют цепочку email в 1С для рассылки поддельных счетов партнерам или иных писем, компрометирующих компанию. Эта схема особенно эффективна, поскольку письма приходят с реальных корпоративных адресов, что повышает доверие получателей.

Схема работает следующим образом:

  • Отправка счетов с измененными банковскими реквизитами существующим контрагентам.

  • Использование реальной переписки и документооборота для создания достоверности.

  • Получение денежных переводов сторонней организации от ничего не подозревающих партнеров.

Также возможна схема с отправкой писем, компрометирующих организацию. Например, это может быть осуществлено с целью нанесения максимального вреда корпоративным связям компании. Злоумышленники с легкостью могут подорвать доверие, выстраиваемое годами, а контрагенты могут приостановить контакты или даже прекратить сотрудничество.

Статистика показывает высокую эффективность подобных атак: 79% успешных атак социальной инженерии осуществляется через электронную почту, при этом каждый четвертый сотрудник открывает фишинговое письмо.

4. Подмена банковских операций через файлы обмена

Один из наиболее опасных векторов — перехват и модификация файла выгрузки в клиент-банк, например файла «1c_to_kl.txt», который 1С генерирует при выгрузке платежных поручений в банковское приложение по отправке платежей или в части зарплатного проекта. Троянские программы типа Mezzo и TwoBee отслеживают создание подобного файла и подменяют реквизиты получателей.

Технический механизм атаки:

  1. Вредоносная программа создает перехват системных вызовов при записи файла.

  2. Через механизмы 1С:ДиректБанк или модули обмена с ДБО формируются новые платежные поручения на подставные счета (или изменяются суммы перечислений на банковские карты).

  3. Платеж подтверждается в системе банка, деньги уходят злоумышленникам.

5. Кража данных для последующих атак социальной инженерии

Наиболее изощренная схема включает теневое копирование персональных данных и информации о банковских картах для последующих фишинговых атак. Злоумышленники собирают:

  • Персональные данные клиентов для проведения звонков от имени банка или государственных структур.

  • Данные банковских карт для мошеннических операций.

  • Информацию о сотрудниках для целевых атак социальной инженерии.

Современные мошенники используют украденные данные для многоступенчатых атак: сначала звонят жертве, демонстрируя знание личной информации для создания доверия, затем под различными предлогами выманивают коды доступа к банковским счетам.

Метода вторичной монетизации угроз
Метода вторичной монетизации угроз

Повышенные риски для малого и среднего бизнеса

Упрощенные системы защиты

Малые компании часто ограничиваются базовыми средствами защиты — антивирусом и устаревшим («не обновляемым») межсетевым экраном. Отсутствие полноценной системы защиты информации делает такие атаки практически незаметными до момента серьезного инцидента.

Одни из основных причин взлома, может самые важные, – это экономия средств на системы информационной безопасности, а также самонадеянность руководства организации.

Самонадеянность проявляется как в ложном понимании, что "нас-то не взломают", "мы никому не интересны" и т.п., так и в слепой вере в какое-либо чудо, например, в защиту отдельных средств защиты от всех возможных негативных событий. Как в медицине не бывает панацеи, так в инфобезопасности нельзя защититься одним-двумя средствами защиты от всех негативных событий. Антивирус, конечно, всем нужен, однако от шифровальщиков он не спасет: сотрудник организации сам даст разрешение на запуск шифровальщика или отметит это как доверительное действие.

Отсутствие систем мониторинга событий

В малом и среднем бизнесе повсеместно отсутствуют какие-либо подсистемы мониторинга событий, например:

  • подсистема сбора и реагирования на уязвимости (VM);

  • подсистема мониторинга, анализа и предотвращения происшествий/инцидентов ИБ (вида SIEM, IRP, SOAR);

  • подсистема анализа сетевого трафика (NTA).

Зачастую в организации даже сбор логов событий не ведется!

Это приводит к тому, что злоумышленник, даже если он пробрался в ИТ-инфраструктуру, останется не замеченным. По статистике, от момента взлома до момента осуществления негативных событий проходит в среднем от 6 месяцев до года, и все это время злоумышленник может готовиться к реализации пагубного сценария с максимальным эффектом, а сама организация часто не обладает силами и средствами обнаружения действий злоумышленника. 

Ограниченные возможности форензики

После успешной атаки злоумышленники уничтожают или изменяют логи, резервные копии и другие артефакты, по которым можно восстановить ход атаки. Малый бизнес не располагает ресурсами не только для мониторинга событий, но и для полноценного расследования инцидентов и восстановления цепочки компрометации.

 Критичность финансовых потерь

Простои организации (простои в управлении, в производстве и прочие), а также прямые финансовые потери, которые для крупной компании могут стать «временными неудобствами» (негативными факторами, но которые можно зар��нее нивелировать компенсирующими мерами), для малого бизнеса способны оказаться фатальными.

Средний ущерб от кибератак составляет до 25% от годового оборота компании.

Комплексные первоочередные меры защиты

Немедленные действия

  1. Критически важное обновление платформы до безопасных версий:

- 8.3.23, 8.3.24 → ≥ 8.3.24.1667 или выше

- 8.3.z → ≥ 8.3.24.1674 (z) или выше

- 8.3.25 → ≥ 8.3.25.1394 или выше.

2. Временная изоляция уязвимых систем до обновления — ограничение внешнего доступа, настройка белых списков IP-адресов и т.п.

Долгосрочная стратегия безопасности

  1. Проанализируйте логи входа на предмет наличия аномалий (при техничесокй возможности).

  2. Проверьте настройки и работоспособность средств защиты, имеющихся в наличии (антивирусов, межсетевых экранов, средств обнаружения вторжений и т.п.)

  3. Внедрите двухфакторную аутентификацию для пользователей

  4. Обновите и проверьте резервные копии (важно проверить копий методом тестового восстановления данных).

  5. Настройте регулярный мониторинг уязвимостей и своевременное обновление программ, в том числе платформы 1С.

  6. Для защиты взаимодействия с банком используйте 1С:ДиректБанк — наиболее эффективное решение для защиты банковских операций. Сервис использует технологию прямого обмена с банками DirectBank, исключающую промежуточные файлы, которые могут быть скомпрометированы.

  7. Используйте организационные и компенсирующие меры защиты, например, отказ от использования стандартных имен файлов — вместо 1c_to_kl.txt возможно использовать произвольные имена, согласованные с банком (значительно усложняет работу вредоносных программ). Ограничьте права доступа так, чтобы сотрудники имели определенный набор необходимых прав исключая работу под учетной записью администратора.

  8. Внедрите проверку файлов при выгрузке и передачи, например, организуйте проверку целостности файлов — в 1С:Бухгалтерии 8 редакции 3.0 реализована проверка файлов на модификацию после загрузки.

  9. Внедрите подсистему контроля доступа (для ограничения прав пользователей и мониторинга их действий).

  10. Регулярно проводите обучение персонала — большинство атак начинается с компрометации учетных данных сотрудников через фишинг и социальную инженерию.

Список первоочередных мер можно продолжать, однако даже в малом и среднем бизнесе стоит обратить внимание на построение общей стратегии информационной безопасности, начиная, с анализа бизнес-процессов, построения реестра недопустимых событий, описания своей ИТ-инфраструктуры (большинство организаций не имеет полного понимания всех ИТ-активов, а взлом может произойти из забытого или неучтенного ноутбука), формированию модели угроз и до построения полноценной системы защиты организации, которая будет «по карману» самой организации, не разорит ее, а обеспечит необходимый и достаточный уровень информационной безопасности! Построить достаточную систему защиты может позволить средний и даже малый бизнес, если подходить к этой задаче ответственно и профессионально с четким пониманием ограниченности бюджета.  

Вместо итога….

Уязвимость BDU-2025-07182 представляет критическую угрозу для компаний любого размера, использующих в своей инфраструктуре решения на платформе 1С:Предприятие 8. Особую опасность данная уязвимость представляет именно для малого и среднего бизнеса в связи с ограниченностью ресурсов и из-за отсутствия полноценной системы защиты. В малом бизнесе часто даже отсутствует (или своевременно не проверяется) подсистема или какая-либо политика гарантированного восстановления данных!

Пять основных векторов монетизации от ransomware-атак до сложных схем социальной инженерии, — демонстрируют всю серьезность ситуации. Только комплексный подход, начинающийся с немедленного обновления платформы, перехода на защищенные технологии обмена с банками, постоянного обучения персонала, реализации иных первоочередных мер позволит минимизировать риски и защитить критически важные бизнес-процессы.

 Помните: своевременное выполнение обновлений 1С (как часть единой системы обновлений — на профессиональном языке «патч-менеджмент»), а также гарантированное резервное копирование информационных баз 1С (как часть единой системы резервного копирования / гарантированного восстановления) — это не просто рекомендации, а жизненная необходимость для сохранения бизнеса в условиях возрастающих киберугроз. Это базовые (минимальные) меры, которые должна обеспечить организация любого масштаба, начиная с самозанятого или индивидуального предпринимателя.  

Конечно, никакие средства защиты не могут на 100% гарантировать отсутствие взлома, как например, нельзя на 100% гарантировать полноценное здоровье человека (панацеи попросту не существует). Однако, каждая успешно внедренная подсистема информационной безопасности даже в малой части, даже если меры организационные (компенсирующие) или, например связаны с обучением сотрудников, существенно повышает безопасность и надежность инфраструктуры, главным образом затрудняя технологию самого взлома, а также обеспечивая меры предупреждения и обнаружения действий нарушителя.

Организации в рамках собственной стратегии информационной безопасности необходимо подобрать тот комплект технических и организационных мер, которые с одной стороны гарантированно защитят ее от реализации недопустимых событий, а с другой – обеспечат такую ситуацию, когда цена взлома станет существенно дороже выгоды от самого взлома.