Pull to refresh

Comments 21

Вот я разработчик 1с и все равно не понял. Атака на файловые базы это вообще можно не рассматривать. А как и вы получите доступ от SQL.

Похоже, да, т.к. сначала речь про менеджер кластера, а потом извлекают хеши паролей из файловой базы. Откуда она взялась? И далее такой же треш. Если не заданы права, если не заданы пароли. Уязвимости то где?

Т. е. "уязвимость" заключалась в том, что администратор не настроил аутентификацию в кластере вообще, а по-умолчанию ее нет? Пока тянет только на успехи мамкиного кулхацкера.
С тем же успехом можно было вообще не добывать пароли, а сразу сделать пустую базу, в ней подключить произвольную обработку, из нее вызвать powershell с правами платформы и далее развлекаться как угодно. И есть вероятность, что платформа запущена от локального или даже доменного админа, видел такое слишком часто.

Вспоминается...
Чукотские хакеры подключились к сети... троих убило на месте, 220 вольт это не шутки.

Статья с маркировкой средний уровень сложности ... для журнала Мурзилка надо полагать

Не надо хайповать на слове 1С и все будет хорошо.

И писать на Хабре надо хорошо

А такими публикациями вы только антирекламу делаете своей родной компании

Откуда файловая база если сделано через кластер серверов? Если серверную базу сдампили, то невелика честь ломануть этот проходной двор.

накатить её локально

Автору нужно накатить таблеток. До весны ещё 2 месяца, а уже штырит.

Странная статья.

Так и не понял, как Tool_1CD помогает подключению к серверу по порту 1541.

Четверть статьи в статье про серверную 1С про то, как обойти пароли файловых баз при доступном файле. Ага. Еще примерно четверть - про то, как обойти пароли серверной версии, когда уже есть прямой доступ к БД. Оба эти сценария (доступный файл и прямой доступ к БД) уже сами по себе означают полный провал ИБ: злоумышленник получил произвольный доступ к данным.

При этом в 2.2

Дальнейшее развитие вектора атаки в базе MSSQL может происходить в следующих направлениях...

Перечисленные направления означают, что уже получен доступ sysadmin и включены возможности типа xp_cmdshell. Даже не знаю, что тут сказать, разве что "надо было отправить DBA хоть на какие-нибудь курсы".

Вся суть статьи ровно в одном абзаце:

Мы обнаружили, что в кластере 1С существует уязвимость, связанная с недостаточной (отсутствующей) авторизацией на порте 1541 (и через 1540), который используется для подключения к кластеру. Если авторизация не настроена должным образом, злоумышленник может подключиться к кластеру через менеджер кластера, получив несанкционированный доступ к чувствительным данным и системе.

И из этого абзаца, если честно, нифига не понятно. Какая конфигурация всей системы?

  • Какая версия 1С подвержена уязвимости?

  • Созданы ли администраторы рабочего сервера и кластера? Какой у них тип аутентификации и задан ли пароль?

  • Выполнены ли стандартные рекомендации по обеспечению безопасности с ИТС?

  • Что такое вообще "недостаточная (отсутствующая) авторизация на порте 1541 (и через 1540)"? 1541 используется для клиентских соединений, а 1540 для администрирования сервера - там заметно разные механизмы.

  • "Если авторизация не настроена должным образом", то бабушка была бы дедушкой то нет смысла говорить об уязвимости.

  • Если есть уязвимость, то сообщили ли вы разработчикам? Если нет, то это крайне неэтично. Если да, то интересна реакция вендора. Признано ли уязвимостью, в какой версии исправлено, какие версии подвержены, зарегистрирована ли CVE?

Короче, какая-то неудачная статья. При этом я вполне допускаю, что у 1С есть уязвимости (даже весьма серьёзные). Например, в 2010 году исправили весёлый баг - любой сервер мог запустить без проверки рабочий процесс для кластера с другого сервера, подвержены были все 8.1 и 8.2 до 8.2.12, исправлено в 8.2.13. Как по мне - исправление костыльное, но за 15 лет я в этом костыле другой неисправимой уязвимости не увидел. От репорта до релиза, кстати, меньше месяца прошло.

Работаю с 1С и тоже ничего не понял. Даже, не написали что сделать для защиты.

Вообще, самое лучшее использовать закрытые сети без доступа из интернета, а между юзером и базой настроить vpn. Полагаться на пароли самой 1С бессмысленно, они стираются утилитой, гуляющей в интернете, но там сначала надо получить саму базу в файловом варианте.

В случае 8.3 самое верное решение - это доступ/публикация через веб-сервер (для клиентов). Разработчики в закрытом контуре.

Но самое печальное

Получили вы доступ к кластеру. Это вам ровным счетом ничего не дает.

Говорю по буквам Никита, Игорь, Харитон, Ульяна...

Кроме списка баз

Для того чтобы что то сделать с базой вам нужен пароль от базы

А если вы стырили файловую базу то вам не нужен тул_сд, вы можете хеши паролей вытащить штатными средствами.

То есть статья ни о чем и аудит безопасности если вы такой пытались сделать ни о чем

Вы неправы. Если кластер не правильно настроенный корп, а настроен "как у большинства", то просто создаём свою базу (ну ок, тут надо будет постараться организовать свой сервер СУБД, но это обычно не проблема). В своей базе можете читать и писать файлы на сервере 1С:Предприятия от имени rphost. У 1С в принципе есть для параноиков возможность запускать rphost от отдельного пользователя, но, положа руку на сердце, это прям крайне редкая практика. А если можете читать и писать файлы, то не проблема получить доступ на сервер СУБД с целевой БД.
Но даже если сервер настроен правильно, то возможность создать свою БД сильно поможет в атаке (тут много сценариев).

Чтобы создать свою базу в кластере 1С, вам нужен адрес базы в СУБД. Ну т.е. сначала надо ломануть инстанс MS SQL /Postgres или где то в атакуемой сети поднять собственные инстансы.

Другими словами - в описываемых сценариях атакуемая инфраструктура уже должна содержать серьезные уязвимости не 1С-ного характера.

Postgres можно запустить на машине атакующего даже без административных прав (на сам запуск права не нужны, но на открытие порта могут быть нужны) - этого хватит.
Не стоит рассчитывать, что атакующий не может поднять в сети достаточно простой сервис, но может запустить консоль кластера с знанием пароля.
Более того, у кластера, насколько я помню, вне информационных баз даже логов нет, т. е. никто и никогда не найдёт эту базу, если злоумышленник за собой приберёт.

Память вам изменяет. Есть технологический журнал. В нем даже есть отдельные виды событий которые генерятся кластером, например ADMIN - как раз в нем и будет записано событие создания базы в кластере.

Поддержу: для создания базы из кластера нужно, как минимум, знать пароль и пользователя СУБД.

Это возможный вариант
Он несколько мифический как и совет из соседней статьи - запустить брутфорсер на питоне.
Конечно же питон тоже не проблема найти на рабочем месте

Но потом придет злобный админ возьмет за ухо и отведет к мамке (зачеркнуто) в службу безопасности и/или придется ознакомиться с 272 УК РФ

При таких возможностях о которых вы пишете на порядок проще поднять снифер трафика и узнать пароль 1С директора, потому что если пароли в кластере 80% все же устанавливает то шифрование 1%

Добрый день

Чтобы из кластера вытащий файловую базу на даже очень сильно скромпроментированном сервере нужен пароль к СУБД или самой 1С

Если получен доступ в СУБД, то необходимость в тулзе отпадает

Найдите способ получить админа в 1С или СУБД, на кластере 1с, тогда поверю, что вы понимаете о чем пишете

Феерический бред:

"

  1. Наличие двух сопрягающихся между собой клиентской и серверной версий 1С (подбирается эмпирическим путем)."

Tool_1CD давно нормально не работает с файловыми базами.
К кластеру можно подключиться без пароля если в базе вообще нет ни одного пользователя (не настроена авторизация вообще)

Сдается мне джентельмены эти две статьи работают по известному принципу

Метод ТП в поле: в них написана откровенная фигня, но сейчас в комментариях накидают дельных советов и уже следующий аудит пойдет по ним

На самом деле на ИТС все уже рассказано с картинками
Кто хочет сходит https://its.1c.ru/db/metod8dev/content/5816/hdoc

Особенно рекомендую безопасникам, прочитать, проверить
Разобраться кто виновен, наказать кого попало.

А мне поставить + за совет

Обычно не оставляю комментарии на Хабре, но тут не могу сдержаться. Каким образом подключение к кластеру сервера 1С по сетевому порту 1541 связано с открытием ФАЙЛОВОЙ базы через указание пути к файлу 1CD? Полная бредятина написана с точки зрения реальной эксплуатации продуктов и решений от 1С.

Sign up to leave a comment.